Плагин MS ставил под удар пользователей FireFox
dl // 17.10.09 01:57
Среди уязвимостей, исправленных MS в последний вторник, была одна, затрагивающая не только пользователей IE (что стало вполне привычным), но и пользователей FireFox.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/10/03.html]
Дело в том, что начиная с февраля MS включила в принудительное обновление системы первый сервис пак для .NET 3.5, установка которого приводила к повлению в FireFox плагина The .NET Framework Assistant. Согласно Annoyances.org, этот плагин добавляет в FireFox одну из самых неприятных уязвимостей IE - возможность установки приложений с веб-сайтов без ведома пользователей.

Дополнительную прелесть ситуации добавляло то, что поначалу этот плагин было невозможно удалить или заблокировать стандартными средствами FireFox во всех системах, кроме Windows 7, это было исправлено лишь в майском обновлении.

По словам Microsoft, пользователи FireFox, не установившие обновление для IE MS09-054, по-прежнему находятся под угрозой.

Источник: Computerworld теги: microsoft, firefox, windows, .net  |  обсудить  |  все отзывы (0)

Пара дюжин исправлений в акробатах
dl // 14.10.09 01:18
Синхронно с MS Adobe выпустила большое обновление для Adobe Reader и Acrobat, включающее исправление свежей критической уязвимости, обнаруженной на прошлой неделе.

Источник: eWeek теги: adobe, acrobat, уязвимости  |  обсудить  |  все отзывы (0)

Октябрьские обновления от MS
dl // 14.10.09 00:19
Одно из крупнейших обновлений - 13 бюллетеней, включающих исправления 34 уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/10/01.html]
8 критических, 5 важных.

Критические: исправление уязвимости в SMBv2, в Windows Media Runtime, Windows Media Player, .NET и Silverlight, ActiveX-компонентов для MS Office, написанных с помощью уязвимой версии ATL, кумулятивные обновления для IE и блокирующих флагов ActiveX.

Важные исправляют удаленное исполнение кода в GDI+, службе FTP и службе индексирования, подделку сертификата в CryptoAPI, DoS в подсистеме Local Security Authority.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch, activex, windows, dos, .net  |  обсудить  |  все отзывы (0)

Массовая утечка исходников интернет-проектов через SVN
dl // 23.09.09 17:41
SVN - одна из популярнейших систем контроля версий, широко используемая в том числе и при веб-программировании.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/09/07.html]
Типовым и рекомендуемым вариантом использования SVN в последнем случае является периодический экспорт кода на боевой сервер, однако зачастую у разработчиков возникает соблазн исключить из рабочего цикла процедуру экспорта и разместить рабочую копию непосредственно на основном сервере.

Обратной стороной этого упрощения является то, что рабочие копии таких проектов содержат служебные каталоги .svn с рядом подкаталогов, из которых особый интерес представляет подкаталог text-base, хранящий последние версии всех файлов, полученных из репозитория. Причем файлы эти имеют расширение svn-base и прекрасно отдаются веб-сервером без дополнительной обработки (т.е. любой человек может спокойно посмотреть ваш код на php/asp/perl/..., подсмотреть в нем пароли доступа к базам и внешним сервисам и т.п.). Кроме того, из лежащего по соседству файла entries можно получить массу другой любопытной информации - расположение репозитория, логины пользователей и т.п.

В принципе, и это не фатально - соответствующие каталоги элементарно закрываются от публичного доступа простой настройкой веб-сервера, но, как выяснилось, по крайней мере 3320 популярных сайтов рунета, включая крупнейшие, не озаботились этой элементарной защитой.

Источник: Хабрахабр теги: leak  |  обсудить  |  все отзывы (3)

Критическая уязвимость в ядре FreeBSD
dl // 16.09.09 14:48
Уязвимость в интерфейсе уведомлений kqueue может привести к разыменованию нулевого указателя в ядре и как следствие к повышению привилегий произвольного пользовательского процесса (по той же схеме, что и с августовской линуксовой дыркой).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/09/06.html]
Затрагивает все версии с 6.0 по 6.4, версии начиная с 7.1 предположительно чисты, хотя есть сообщения и об успешном запуске эксплоита на 7.2.

Источник: The Register теги: freebsd, retro  |  обсудить  |  все отзывы (0)

««    «   171  |  172  |  173  |  174  |  175  |  176  |  177  |  178  |  179  |  180   »    »»

Предложить свою новость