информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Неприятные уязвимости в роутерах... 
 Chrome отмечает десятилетие редизайном 
 Foreshadow продолжает дело Meltdown... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2010
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



Paragon Partition Manager 7.0

Java вышла на первое место по числу атак; Американский сайт Касперских три с половиной часа раздавал трояны; Adobe подарила кучу электронных журналов пользователям iPad'ов; Октябрьские обновления от MS; Adobe подлатала Flash; Бэкдор в QuickTime.

#293, 19.10.2010

Java вышла на первое место по числу атак
dl // 19.10.10 23:58
Согласно исследованию Microsoft, Java отборала у приложений Adobe сомнительную славу самого атакуемого программного обеспечения. По словам Холли Стюарт (Holly Stewart) из Microsoft Malware Protection Center, с третьего квартала прошлого года пошла целая волна атак на Java, причем в основном использующих три давно закрытые уязвимости. Счет атакам идет уже на миллионы в квартал.
Источник: The Register


Американский сайт Касперских три с половиной часа раздавал трояны
dl // 19.10.10 23:47
Путем использованиия уязвимости в неназванном приложении взломщикам удалось перенаправить посетителей kasperskyusa.com на страницу, раздающую троян, прикидывающийся антивирусом. Редирект работал в общей сложности три с половиной часа в минувшее воскресенье.

Предыдущий подобный инцидент случился в феврале прошлого года, когда опять же на американском сайте случилась утечка пользовательской информации. Итого скоро будет отмечаться 40-й взлом ЛК с 2000 года.
Источник: The Register


Adobe подарила кучу электронных журналов пользователям iPad'ов
dl // 14.10.10 01:09
После выхода iPad'а многие журналы бросились выпускать заточенные под него электронные версии. Выглядит это следующим образом: сначала скачивается бесплатное приложение, в котором показываются обложки доступных номеров. Первая доза Первый номер, как правило, бесплатный, на его обложке красуется кнопка Download, на обложках остальных - кнопка Buy.

Как выяснилось, большая часть журналов готовится с помощью программы от Adobe, традиционно славящейся надежностью защиты своих электронных книг. В данном случае обход защиты сводится к поиску в каталоге программы (имя каталога проще всего выяснить с помощью iFile) файла с расширением plist, имя которого поначалу из осторожности не называлось, но вскоре засветилось в одном из комментариев как заканчивающееся на Issues и начинающееся на Local.

Далее, взяв еще одну вершину хакерского мастерства, этот файл можно либо подправить на месте, либо скопировать на десктоп, отредактировать там и вернуть на прежнее место. Правка заключается в замене всех встреченных слов "purchasable" на "viewable". После этого кнопка Buy сменится на пару кнопок Delete и View, которые в свою очередь после нажатия Delete сменятся на Download, превратив тем самым платный выпуск в бесплатный. Дело в том, что при удалении честно купленного номера остается возможность его бесплатного скачивания - и вьювер искренне считает, что раз мы удалили что-то ненужное, то сначала купили это что-то ненужное.

Представители Adobe заявили, что очень озабочены вопросами пиратства и пообещали выпустить новую версию Digital Content Viewer к восьмому октября. Однако прошла уже почти неделя, а трюк этот прекрасно проходит и с Wired, и с NewYorker'ом. Собственно, и будет проходить до полной замены клиентского софта.
Источник: The Huffington Post


Октябрьские обновления от MS
dl // 12.10.10 22:17
Рекордный вторник - 16 обновлений, закрывающих 49 уязвимостей.

4 критических, включающие кумулятивное обновление IE, устранение удаленного исполнения кода в Media Player Network Sharing Service, Embedded OpenType Font Engine и .NET.

10 важных устраниют удаленное исполнение кода в Word, Excel, Windows Common Control Library, Windows Media Player, Windows Shell и WordPad; повышение привилений в драйверах уровня ядра, драйвере OpenType Font и Windows Local Procedure Call; DoS в SChannel; утечку информации в SharePoint.

И последние два - удаленное исполнение кода в MFC и искажение данных на дисках Windows Shared Cluster.
Источник: Microsoft Security Bulletin Summary


Adobe подлатала Flash
dl // 21.09.10 02:09
Adobe выпустила исправление для опасной уязвимости в Flash аж на неделю раньше обещанного. Устранение еще одной уязвимости в Acrobat пока запланировано на 4 октября.
Источник: Adobe


Бэкдор в QuickTime
dl // 03.09.10 01:51
В QuickTime Player для Windows обнаружилась занятная уязвимость, живущая там аж с 2001 года. Кто-то из разработчиков добавил в QTPlugin.ocx атрибут _Marshaled_pUnk, позволяющий закинуть в память произвольный исполняемый код. До 2004 года эта функциональность использовалась для того, чтобы QTPlugin.ocx мог выводить изображение в существующее окно вместо создания нового. Использующий эту возможность код давно убрали, а про сам атрибут забыли, и спустя шесть лет он проявился.
Источник: The Register




обсудить  |  все отзывы (0)  
[16563]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach