ФБР прикрыло MegaUpload
dl // 20.01.12 08:28
Популярный файлообменный ресурс MegaUpload был закрыт сегодня ФБР, а его владельцы арестованы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/01/09.html]
Министерство юстиции США в своем заявлении назвало сайт международным организованным преступным предприятием. Среди предъявленных обвинений милый набор от нарушений копирайта до отмывания денег.

Любопытно, что согласно данным Palo Alto Networks, MegaUpload отвечал за четверть всего мониторящегося корпоративного трафика - 20 терабайт против дропбоксовских 17, хотя и был замечен в 57 процентах сетей против дропбоксовских 76.

Источник: Gizmodo обсудить  |  все отзывы (14)

Symantec признала взлом своей сети в 2006 году
dl // 19.01.12 20:35
После обещания индийскими взломщиками из группы Dharmaraja опубликовать исходный код ряда продуктов Symantec, компания некоторое время пыталась сохранить лицо и утверждала, что код этот был получен из неких третьих рук, после взлома какого-нибудь партнера и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/01/08.html]

Однако теперь Symantec все-таки признала, что код Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack и pcAnywhere был украден непосредственно из корпоративной сети в 2006 году. Представители компании, уверяют, что кража кода шестилетней давности никак не отразится на пользователях современных продуктов компании, однако аналитики не столь оптимистичны.

Собственно, даже сам представитель Symantec Крис Паден (Cris Paden) заметил, что пользователи pcAnywhere могут столкнуться со слегка возросшим риском. Именно к пользователям этого продукта сейчас привлечено повышенное внимание поддержки Symantec; перехват контроля за средством удаленного управления - штука, мягко говоря, малоприятная.

Источник: Reuters теги: symantec  |  обсудить  |  все отзывы (0)

Игровой плагин для Visual Studio
dl // 19.01.12 19:46
Microsoft выпустила плагин, позволяющий разнообразить жизнь в Visual Studio.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/01/07.html]
Теперь можно соревноваться с коллегами непосредственно в процессе кодирования и коллекционировать всякие добрые достижения. Так, бэджик "Go To Hell" дается за использование оператора goto, "Cheater" за вызов меню IntelliTrace 10 раз, "Field Master" за 100 полей в классе и т.п.

Источник: GeekWire, Visual Studio Achievements теги: microsoft  |  обсудить  |  все отзывы (0)

McAfee приоткрыла дверь спамерам
dl // 19.01.12 18:26
Облачный сервис SaaS for Total Protection от McAfee содержал уязвимость, позволяющую спамерам использовать его в качестве открытого релея.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/01/06.html]
Вторая недавно обнародованная уязвимость (по словам McAfee, ее на самом деле нельзя использовать благодаря августовскому исправлению, направленному на устранение аналогичной уязвимости) позволяла использовать некий ActiveX-контрол для исполнения произвольного кода.

Источник: The Register обсудить  |  все отзывы (0)

Фундаментальная проблема в Oracle
dl // 18.01.12 17:46
В продолжение темы оракловых неприятностей InfoWorld публикует материал о проблеме, частично устраненной в последнем обновлении, но принципиально не исчезнувшей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/01/05.html]

Источником проблемы является счетчик System Change Number (SCN), увеличивающийся при каждой операции над базой, и являющийся критичным для ее работы. Такие встроенные часы, идущие только вперед, причем для увеличения одной базой SCN другой нужны лишь самые базовые привилегии.

Проектировщики заложили вполне приличный запас в SCN, сделав его 48-битным. Верхней границы в 281,474,976,710,656 должно хватить надолго, но помимо этого, на SCN было наложено дополнительное ограничение - в каждый момент времени его значение не может превышать количество секунд, прошедших с 1.01.1980, умноженное на 16,384. Предполагалось, что баз, непрерывно живущих с 80 года, и проводящих по 16 тысяч транзакций в секунду, в природе не существует.

На практике же обнаружилось несколько ситуаций, в которых природу удавалось обойти:

1. Баг в бэкапе. Базы Oracle поддерживают так называемый hot backup, позволяющй с помощью команды ALTER DATABASE BEGIN BACKUP начать бэкап работающей базы. Ошибка в кодировании привела к тому, что после выполнения этой команды SCN начинал расти со страшной скоростью, не останавливаясь даже после команды END BACKUP. На одиночной базе даже это не вызвало бы проблем, но в сочетании с множественными связанными базами (а у крупных организаций число подобных серверов может идти на сотни) теоретически недостижимый лимит вдруг оказывается не столь недостижимым. Недавно исправленная уязвимость носит номер 12371955, "High SCN growth rate from ALTER DATABASE BEGIN BACKUP in 11g."

2. Саботаж. Описанная ситуация открывает новый вектор атак - пользователь, имеющий доступ к второстепенной базе, может накрутить SCN всех баз, входящих в систему.

До недавнего времени вся реакция от Oracle на описанную проблему сводилась к увеличению ограничения на SCN вдвое - коэффициент умножения секунд вырос до 32,768. Что любопытно, это увеличение само по себе могло и ухудшить ситуацию, если в системе встретятся два сервера, только один из которых пропатчен - у него SCN может превысить критичный уровень для второго, и они просто не смогут взаимодействовать.

Наконец, последние исправления включили некую защиту, названную по словам представителей Oracle прививкой (inoculation). Пока не вполне ясна ее эффективность, как и механизм ее работы, но стоит учесть, что исправление вышло только для последних версий. Все версии, более старые, чем 11.2.0.2.0 и 10.1.0.5, по-прежнему уязвимы.

Источник: InfoWorld теги: oracle  |  обсудить  |  все отзывы (2)

««    «   131  |  132  |  133  |  134  |  135  |  136  |  137  |  138  |  139  |  140   »    »»

Предложить свою новость