информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100За кого нас держат?Spanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
 Tailscale окончательно забанила... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2015
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




Скандальная неделя; Еще одна уязвимость в Android, на этот раз под угрозой 55% устройств; Срочное обновление Firefox; Первое кривое обновление для Windows 10; Microsoft открыла Windows Bridge for iOS.

#370, 14.08.2015

Скандальная неделя
dl // 14.08.15 22:11
Интересная неделя тут внезапно случилась. В понедельник CSO Oracle Мэри Энн Дэвидсон рассказала в корпоративном блоге, как это неправильно искать уязвимости в продуктах Oracle и потребовала от исследователей заниматься реверс инжинирингом, оставив это дело профессионалам из Oracle. После единодушной реакции исследователей компания предпочла удалить эту запись, насладиться которой все еще можно в кэше поисковиков или в WebArchive.

На следующий день пришел черед Cisco, которая признала несколько обнаруженных случаев с заменой IOS ROM Monitor (ROMMON) в маршрутизаторах своего производства. В принципе, ничего особо нового тут не случилось, атака все равно требует физического или удаленного доступа с администраторскими правами, любопытен именно сам факт превращения ранее считавшейся теоретической атаки в реальную.

И вишенкой на торте стала сегодняшняя статья в Reuters, в которой рассказывается о том, что Лаборатория Касперского в течение ряда лет подсовывала своим конкурентам информацию, приводящую к ложным срабатываниям их антивирусных продуктов. В качестве основных мишеней названы Microsoft, AVG и Avast. Факт саботажа подтвердили два бывших сотрудника компании, сам Касперский, естественно, все отрицает.
Источник: WebArchive, Cisco, Reuters


Еще одна уязвимость в Android, на этот раз под угрозой 55% устройств
dl // 11.08.15 00:12
Не успели пользователи получить исправления от уязвимости в Stagefright, как обнаружилась еще одна, затрагивающая все версии, начиная с 4.3. На этот раз проблема в эскалации привилегий из-за ошибки в классе OpenSSLX509Certificate - произвольное приложение может обойти установленные права доступа и выполнить произвольный код с повышенными правами, получить доступ к пользовательским данным, установить еще что-нибудь и т.п.

Конечно, и так-то мало кто следит за тем, куда хотят залезть устанавливаемые из Market приложения, но эта уязвимость позволит обмануть бдительность даже осторожных пользователей. Интересно, насколько усугубит ситуацию сочетание со Stagefright.

Как и в прошлом случае, патч уже готов, но большинство потенциальных жертв его вряд ли получит.
Источник: The Register


Срочное обновление Firefox
dl // 07.08.15 13:45
Mozilla выпустила срочные обновления Firefox 39.0.3 и Firefox ESR 38.1.1, закрывающие уязвимость, уже использующуюся в рекламных баннерах неназванного русского новостного сайта. Уязвимость связана с механизмом разделения контекста JavaScript и встроенным PDF Viewer. Использующая ее атака в первую очередь ориентирована на разработчиков - под Windows ищет конфигурационные файлы subversion, s3browser, Filezilla и еще нескольких популярных ftp-клиентов, под unix - /etc/passwd, .bash_history, .mysql_history, .pgsql_history, .ssh и т.п.

Пользователи, использующие баннерорезалки, скорее всего, не были затронуты.
Источник: Mozilla Security Blog


Первое кривое обновление для Windows 10
dl // 07.08.15 09:58
Microsoft выпустила первое большое кумулятивное обновление для Windows 10 (KB3081424), которое сразу же вызвало проблемы у ряда пользователей. У некоторых (у меня, например) оно в принципе отказывается закачиваться, сообщая об ошибке 0x80004005. Тем, кому повезло меньше, удается частично обновиться, после чего система перезагружается, опять пытается обновиться, опять перезагружается и т.п.

Предположительно проблема заключается в битых пользовательских профилях, оставшихся после обновления с предыдущей версии системы, и исправляется чисткой лишних записей в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, лишний профиль можно определить по ProfileImagePath, ведущему в несуществующий каталог, главное тут - не увлечься). Но лучше все-таки дождаться обновления этого обновления.
Источник: InfoWorld


Microsoft открыла Windows Bridge for iOS
dl // 06.08.15 22:18
Microsoft выложила на GitHub предварительную версию Windows Bridge for iOS - инструмента, обеспечивающего импорт и разработку проектов Objective C в Visual Studio, а также совместимость с iOS API.

В отличие от Xamarin, обеспечивающего кросс-платформенную разработку на C#, идея тут строго противоположная - взять рабочий проект для iOS и сделать из него приложение для Windows 8.1/10. Предполагается, что это ускорит перевод популярных приложений под Windows, с другой же стороны фактически это означает, что Microsoft своими руками устраивает конкуренцию своим же средствам разработки.

Аналогичный проект Windows Bridge for Android пока доступен только по приглашениям и после выхода сделает ситуацию еще запутанней.
Источник: The Verge




обсудить  |  все отзывы (0)
[36373]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach