https://bugtraq.ru/review/archive/2010/16-07-10.html

Борьба за авторские права оказалась убыточной; Mozilla заблокировала вредоносный плагин для FireFox; Adobe подлатала, но не долатала Acrobat; Свежая волна атак на XP; FireFox 3.6.4; HTTPS Everywhere для FireFox.

#290, 16.07.2010

Борьба за авторские права оказалась убыточной
dl // 15.07.10 17:42
Американская ассоциация звукозаписи (RIAA) потратила с 2006 по 2008 год около 64 миллионов долларов на судебные тяжбы, связанные с защитой авторских прав. За то же время с нарушителей авторских прав удалось стрясти менее 1,4 миллиона долларов. Итого чистая прибыль RIAA составила минус 62 миллиона долларов.
Источник: Lenta.ru

Mozilla заблокировала вредоносный плагин для FireFox
dl // 15.07.10 14:17
Плагин Mozilla Sniffer, занимающийся перехватом и передачей на сторонний сервер пользовательских паролей, был загружен на сайт расширений FireFox 6 июня и до блокировки в понедельник был скачан около 1800 раз (в текущий вторник им пользовалось по крайней мере 334 человек). Mozilla уже объявила о планах перехода на новую модель распространения плагинов, в рамках которой код всех расширений будет анализироваться перед выкладыванием на сайт (удачи им).

Кроме того, обнаружена уязвимость в популярном плагине CoolPreviews, позволяющая выполнить код на JavaScript c правами локального пользователя. Версия 3.0.1 и более ранние заблокированы, исправленное обновление уже доступно.
Источник: The Register

Adobe подлатала, но не долатала Acrobat
dl // 02.07.10 03:20
Пару дней назад Adobe выпустила патч, исправляющий по крайней мере 17 уязвимостей в Reader и Acrobat. Однако, по словам вьетнамского исследователя Ле Ман Тунга (Le Manh Tung), одна из них, приводящая к автозапуску исполняемых файлов, вполне переживает патч - достаточно поставить имя исполняемого файла в кавычки. Правда, чтобы успешно использовать уязвимость, жертву еще надо убедить ткнуть кнопку подтверждения в выскакивающем при этом диалоге - а возможную подделку выводящегося в нем сообщения Adobe все-таки исправила нормально.
Источник: The Register

Свежая волна атак на XP
dl // 01.07.10 16:06
Через месяц после обнародования гуглевским инженером очередной уязвимости в XP, связанной с использованием Windows Help and Support Center, Microsoft сообщила, что начиная с 15 июня на смену безобидным тестам пришла волна реальных атак, каковых пока зафиксировано около 10 тысяч. А с прошлой недели подтянулись и автоматические генераторы страниц, использующих эту уязвимость. В качестве основной меры противодействия пользователям пока предлагается заблокировать использование протокола HCP.
Источник: InfoWorld, Microsoft Security Advisory

FireFox 3.6.4
dl // 23.06.10 14:43
Очередная версия популярного браузера закрывает несколько критических уязвимостей и, что более интересно, представляет новую систему защиты от падений браузера в случае вылета плагинов - таких как Flash, Quicktime, Silverlight. Защита реализована способом, напоминающим подход, использованный в Chrome - теперь все эти плагины запускаются в отдельном вспомогательном процессе (в случае Windows-версии за него отвечает plugin-container.exe), падение которого никак не отражается на работоспособности основного приложения.
Источник: Firefox 3.6 Release Notes

HTTPS Everywhere для FireFox
dl // 19.06.10 00:21
Electronic Frontier Foundation и проект Tor выпустили бета-версию плагина для FireFox, который принудительно перенаправляет пользователя на https-версии многих популярных сайтов, таких как Google, Wikipedia, Twitter и т.п. Дело в том, что многие сайты предлагают свои https-версии, но делают их использование не самым удобным, используя по умолчанию http-версии, либо включая на защищенные страницы ссылки, ведущие на обычные. Плагин меняет все подобные запросы на честный https. Возможно добавление пользовательских правил для обучения плагина работе и с другими сайтами.
Источник: The Register