Уязвимости в миллионах устройств с UPnP; Java: и снова здравствуйте; Эксперты считают, что на исправление Java уйдут годы; Уязвимость в роутерах Cisco Linksys; Oracle выпустила внеочередной патч для Java.

#333, 30.01.2013

Уязвимости в миллионах устройств с UPnP
dl // 30.01.13 01:38
Исследователи из Rapid7 подготовили сводный отчет по известным уязвимостям в Universal Plug and Play и по их распространенности на доступных из внешнего мира устройствах. Основные проблемы - уязвимости в популярных UPnP-библиотеках, приводящие к удаленному исполнению кода либо открытию внутренней сети. Причем некоторые из них давно закрыты, но конечные продукты по-прежнему используют старые уязвимые версии. Среди уязвимых устройств множество популярных продуктов Belkin, D-Link, Linksys и Netgear.

На первый взгляд проблема не выглядит слишком серьезной - у обычных пользователей нет никакой необходимости выставлять свой телевизор или медиасервер во внешнюю сеть. Однако ж сканирование показало доступные по UPnP-запросам устройства на 2.2% публичных IP. Что в абсолютных значениях дает около 80 миллионов потенциальных жертв.

Для тестирования своей сети Rapid7 предлагает простой сканер.
Источник: Wired

Java: и снова здравствуйте
dl // 18.01.13 23:26
Две новые уязвимости в Java, позволяющие полностью обойти песочницу и в последней обновленной версии. Ну, вы поняли.
Источник: Full Disclosure

Эксперты считают, что на исправление Java уйдут годы
dl // 14.01.13 22:15
Несмотря на срочный выпуск заплатки, прикрывающей очередную уязвимость в Java, US-CERT рекомендует блокировать даже Java 7u11 в основных используемых браузерах и использовать ее лишь при крайней необходимости. По оценке представителя Rapid7, у Oracle может уйти до двух лет, чтобы залатать все существующие уязвимости в Java до уровня, когда ее станет безопасно использовать - хотя кто знает, сколько к тому времени в ней еще найдется дырок. По его словам, самое безопасное сейчас - считать, что Java всегда будет уязвимой
Источник: Network World

Уязвимость в роутерах Cisco Linksys
dl // 14.01.13 13:53
DefenseCode LTD обещает в течение двух недель опубликовать информацию об уязвимости в стандартной конфигурации роутеров Cisco Linksys, позволяющей получить root-доступ к устройству. Cisco была проинформирована несколько месяцев назад, после чего был получен ответ об устранении уязвимости в последней прошивке. Однако и последняя официальная прошивка 4.30.14, и предыдущие по-прежнему уязвимы.

Опубликованное видео демонстрирует использование уязвимости на роутере Cisco Linksys WRT54GL; вероятно, затронуты и другие модели. Т.е. под удар могут попасть 70 миллионов проданных устройств.
Источник: DefenseCode

Oracle выпустила внеочередной патч для Java
dl // 14.01.13 13:26
Oracle довольно оперативно выпустила исправление Java SE 7u11, закрывающее недавно обнародованную уязвимость. Кроме того, обновление меняет способ взаимодействия с апплетами - теперь для них по умолчанию выставлен высокий уровень безопасности, и пользователь получает предупреждение при каждом запуске неподписанного приложения.

Ну а на завтра намечено плановое обновление других продуктов Oracle, 86 исправлений, включая 18 для MySQL. Причем две исправленные уязвимости MySQL могут быть использованы удаленно и без аутентификации.
Источник: cnet