Очередные критичные уязвимости в Flash и Acrobat
dl // 05.06.10 21:13
Adobe выпустила предупреждение о набирающих оборот атаках, использующих уязвимости в Adobe Flash Player вплоть до версии 10.0.45.2, а также Adobe Reader и Acrobat 9.x.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/06/01.html]
Атаки используют поставляемый с этими системами компонент authplay.dll. В качестве первой меры защиты пользователям предлагается удалить этот файл, либо ограничить к нему доступ. Это может привести к ошибкам открытия pdf-файлов, содержащих swf-ролики, вплоть до падения программы - которое, впрочем, не получится использовать для атаки.

Источник: ZDNet теги: adobe, acrobat, flash  |  обсудить  |  все отзывы (0)

Плохая неделя для Facebook
dl // 22.05.10 12:38
Началось все с уязвимости, позволяющей подсмотреть дни рождений и прочую информацию, которая предполагалась быть закрытой.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/10.html]
Facebook быстро отрапортовала об исправлении уязвимости, но заявление оказалось преждевременным, плюс к ней добавилась возможность удаления всех друзей пользователя. Наконец, с пятницы по Facebook начал распространяться очередной червь, прикидывающийся шуточным видео.

Источник: The Register теги: facebook  |  обсудить  |  все отзывы (0)

Symantec прикупит немного VeriSign
dl // 21.05.10 12:55
VeriSign, пожалуй самый известный Certificate Authority, чье имя практически сразу приходит в голову при упоминании сертификатов для SSL и PKI, объявил о продаже своего бизнеса по аутентификации Symantec.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/09.html]
Менее месяца назад Symantec резко вошла на криптографический рынок, объявив о покупке PGP и GuardianEdge. Любопытно, что тогда президент и CEO Symantec заявил, что компания теперь сможет продвигать клиентское шифрование, оставляя серверную аутентификацию таким лидерам как VeriSign Inc.

Источник: Slashdot теги: symantec, shopping  |  обсудить  |  все отзывы (0)

Долой Aero: Microsoft предупредила об уязвимости в 64-битных Windows 7 и Windows Server 2008 R2
dl // 19.05.10 12:07
Проблемным оказался Canonical Display Driver (cdd.dll), используемый для совмещения результатов работы GDI и DirectX.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/08.html]
Затронуты Windows 7 для x64, Windows Server 2008 R2 для x64 и Itanium.

CDD эмулирует интерфейс XPшного видеодрайвера, позволяя приложениям использовать GDI в обычном стиле, находясь в DirectX-окружении (на практике это означает работу при включенном Aero). Проблема заключается в некорректной обработке информации, передаваемой из пользовательского режима в режим ядра. При удачном использовании эта уязвимость может привести к зависанию и перезагрузке системы. Теоретически возможное исполнение кода практически вряд ли реализуемо из-за механизма рандомизации памяти. Кроме того, необходимым условием использования уязвимости является включенный Aero, который в серверных ОС по умолчанию отключен.

Так что Exploitability Index уязвимости пока оценен в тройку (успешное использование маловероятно). Работа над патчем началась, сроки выхода, как обычно, неизвестны. Пока же все, что остается делать пользователям потенциально уязвимых систем, - запретить использование Aero. Ну или надеяться на лучшее.

Источник: The Register теги: windows  |  обсудить  |  все отзывы (0)

Майские обновления от MS
dl // 11.05.10 21:38
На этот раз всего две и обе критические - удаленное исполнение кода в Outlook Express/Windows Mail и в Microsoft Visual Basic for Applications.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

««    «   161  |  162  |  163  |  164  |  165  |  166  |  167  |  168  |  169  |  170   »    »»

Предложить свою новость