https://bugtraq.ru/review/archive/2011/19-10-11.html

Mozilla передумала блокировать Java; iCloud стал катастрофой для пользователей Outlook; Раздача пользовательских данных в смартфонах HTC; Майкрософтовский антивирус заблокировал Chrome; Взлом MySQL.com.

#308, 19.10.2011

Mozilla передумала блокировать Java
dl // 19.10.11 09:35
После того как в сентябре выяснилось, что одним из основных сценариев применения атаки BEAST на SSL/TLS является использование Java-плагина, в Mozilla всерьез рассматривали вариант его полной блокировки.

Вчерашнее квартальное обновление Oracle, включившее 20 исправлений, относящихся к безопасности, несколько исправило ситуацию. Теперь в Mozilla лишь призывают пользователей как можно быстрее обновить Java и пока не планируют блокировку даже уязвимой версии, хотя и обещают мониторить возможные инциденты.
Источник: The Register

iCloud стал катастрофой для пользователей Outlook
dl // 15.10.11 13:45
Для многих пользователей, особенно корпоративных, Outlook де-факто стал стандартным органайзером. Даже Google не погнушался написать нормальный синхронизатор между своим и аутлуковским календарем, а синхронизацию с аутлуковскими задачами включает каждый уважающий себя GTD-сервис. Соответствующая возможность была анонсирована и в iCloud, ставшим важным компонентом инфраструктуры свежевышедшей пятой iOS.

Лично мне iCloud был интересен в первую очередь синхронизацией аутлуковских задач с iPad'ными Reminders - как ни странно, обновившийся iTunes не включал такой возможности, а все сторонние ToDo требовали установки своих синхронизаторов, от которых была надежда избавиться. Но то, что я увидел после установки iCloud, заставило меня немедленно его снести, а последующее чтение форумов и блогов - возрадоваться тому, что этот опыт обошелся мне столь малой кровью. Общий вывод для пользователей Outlook, дорожащих своим временем и данными: не пытайтесь скрестить его с iCloud. Для работы в чем-то, хоть отдаленно напоминающем корпоративное окружение, эта игрушка просто непригодна.

Рискнувших же ожидает следующее:

• после установки и связи с аутлуком вы получите там новую группу календарей iCloud, а в ней новый календарь; если повезет - один, если до этого успели синхронизировать с iCloud какой-нибудь свой iDevice - не меньше двух (были прецеденты и с шестью).
• вся информация из стандартного календаря будет перенесена в iCloud - т.е. вы немедленно лишитесь всей той функциональности, что доступна только для стандартных календарей.
• это же произойдет с контактами - полная очистка на старом месте и перенос в iCloud, причем с удалением категорий/групп (раз они не предусмотрены на iPhone, значит они не нужны никому).
• если вам не очень повезет, в случае паники и попытки отката есть ненулевая вероятность потери всей перенесенной информации.

Первая волна негодования по поводу столь дурацкого поведения ("да как они вообще посмели удалять мою информацию?") прокатилась еще с обновлением версии MobileMe. Тогда народ спасался откатом на старую версию, которая не выпендривалась и нормально синхронизировалась с дефолтовым календарем. Но, разумеется, при превращении MobileMe в iCloud взяли только новую версию.
Источник: Daggle, Apple Support Communities

Раздача пользовательских данных в смартфонах HTC
dl // 03.10.11 22:51
В последних обновлениях для своих андроидных смартфонов HTC сделала большой подарок своим пользователям, дав возможность практически любой программе добраться до весьма критичной информации.

Приложение HtcLoggers.apk помимо сбора всевозможной статистики о действиях пользователя охотно делится этой информацией с любой программой, обращающейся к ней по локальному порту. Для этого программе достаточно иметь доступ "android.permission.INTERNET", который охотно предоставляется пользователями любым сетевым приложениям.

Среди утекающей информации: список пользовательских аккаунтов, включая связанные с ними почтовые адреса; последние сетевые и GPS-координаты, а также их ограниченная предыстория; список телефонных номеров из лога звонков; вся информация по SMS; системные логи, включающие сведения по действиям приложений; значения системных переменных и т.п.

Разумеется, уязвимости подвержены лишь смартфоны со стоковым Sense, счастливые пользователи CyanogenMod, MIUI и т.п. могут спать спокойно.
Источник: Android Police

Майкрософтовский антивирус заблокировал Chrome
dl // 30.09.11 22:21
Пятничное обновление Microsoft Security Essentials и Microsoft Forefront пополнило коллекцию добрых ложных срабатываний антивирусов. Конечно, получилось не так здорово, как у McAfee, чей VirusScan вообще норовил приложить всю систему, но распознавание Chrome в качестве компонента трояна ZeuS - тоже неплохой подарок для слабонервных пользователей.
Источник: The Register

Взлом MySQL.com
dl // 27.09.11 09:34
В течение нескольких часов на mysql.com находился JavaScript-код, пытающийся опробовать на посетителях ряд известных атак - так что пользователи устаревших браузеров либо с непропатченной троицей Flash/Reader/Java с большой вероятностью что-нибудь там да подхватили.

По словам специалиста из Trend Micro Максима Гончарова, при взломе могли быть использованы логины/пароли, украденные во время мартовского взлома mysql.com. По его словам, на неком русском андеграундном форуме хакер с ником sourcec0de недавно пытался загнать рут-доступ на mysql.com аж за 3 тысячи долларов.
Источник: InfoWorld