Декабрьские обновления от MS
dl // 10.12.08 00:34
Довольно крупная порция обновлений - шесть критических, два важных, исправляющих 28 уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/12/01.html]
Критические включают исправления сразу нескольких уязвимостей в рантайме от Visual Basic 6.0, Word и Excel, а также исправления уязвимостей в GDI, Windows Search и кумулятивное обновление для IE. Все упомянутые уязвимости способны привести к исполнению кода на удаленной машине, для некоторых уже существуют общедоступные эксплоиты. Важные исправляют удаленное исполнение кода в Windows Media Components и повышение привилегий в SharePoint Server.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch, word, excel, windows, server, уязвимости  |  обсудить  |  все отзывы (0)

Неопасная серьезная уязвимость Висты
dl // 24.11.08 23:25
Еще одна уязвимость, которая вроде как и есть, но непонятно, что с ней делать.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/11/14.html]
Томас Унтерляйтнер (Thomas Unterleitner) из австрийской компании Phion сообщил о специфичной для Висты уязвимости, приводящей к переполнению буфера в ядре с последующим BSOD и, предположительно, к возможности внедрения своего кода.

С одной стороны, уязвимость забавна тем, что реализуется несколькими обращениями к iphlpapi.dll, фактически эквивалентными вызову до боли стандартной команды "route add" с некорректным значением маски. Такой вот привет полностью переписанному в Висте стеку tcp/ip (в XP уязвимость не проявляется). С другой стороны, для успешного использования уязвимости пользователю необходимо обладать правами локального администратора (либо быть членом крайне активно используемой группы Network Configuration Operators), так что сценарий ее применения как-то даже не укладывается в голове.

Унтерляйтнер, правда, предположил, что добиться успешной атаки можно с помощью хитро сформированного DHCP-пакета, но подтверждения этой возможности пока не было. По его словам, Microsoft пообещала выпустить исправление со следующим сервис паком. По словам же представителей самой Microsoft, они действительно исследуют данный случай, но пока нет никакой информации о возможности использования данной уязвимости в реальной жизни, равно как и о том, будет ли исправление включено в какой-нибудь сервис пак.

Источник: cnet теги: microsoft, vista, xp, уязвимости  |  обсудить  |  все отзывы (2)

Уязвимость GMail, позволяющая перехватывать почту атакуемого
dl // 24.11.08 23:09
В блоге Geek Condition была опубликована схема атаки на GMail-аккаунт, вроде как позволяющая добавлять в настройки произвольные фильтры, в частности, перенаправляющие приходящую почту на адрес атакующего.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/11/13.html]
Если оставить в стороне страсти по захвату доменов на GoDaddy, схема сводится к следующему. GMail в процессе работы формирует уникальный идентификатор пользователя и идентификатор сессии, которые передает среди параметров запроса, а заодно и сохраняет в куке. И если эти идентификаторы перехватить, то, стало быть, с аккаунтом можно сделать что угодно.

Может я что и не понял, но поднимаемый по этому поводу шум выглядит как-то неубедительно. Ну да, если удачно украсть куку, можно сделать что угодно с почтовым аккаунтом, ну и что тут нового? Ее ведь нужно еще украсть, а с защитой у GMail все ж чуть получше, чем у других почт, благо при работе есть возможность включить принудительное использование https. Похоже, что мое недоумение разделяют и специалисты самого Google, сумевшие сообщить в комментариях к этому известию лишь что пытались связаться с автором, пока же не видят в приведенном описании чего-то специфичного для gmail.

Источник: cnet теги: google  |  обсудить  |  все отзывы (0)

Adobe выпустила бету C/C++ компилятора для Flash
dl // 20.11.08 18:24
Если быть совсем точным, то проект Alchemy предназначен для конвертирования C/C++ кода в байт-код ActionScript 3.0, пригодный для исполнения в ActionScript Virtual Machine (AVM2).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/11/12.html]
Соответствующая виртуальная машина как раз и включена в Adobe Flash Player и Adobe Air. Предполагается использовать Alchemy для написания кода, который слабо привязан к конкретной операционной системе и при этом активно использует вычислительные ресурсы - производительность получается гораздо более высокой, чем в случае ActionScript, хотя и в 2-10 раза ниже, чем у "чистого" C/C++.

Источник: Slashdot теги: adobe, flash  |  обсудить  |  все отзывы (0)

Microsoft заменит OneCare бесплатным антивирусом
dl // 19.11.08 13:00
Microsoft объявила о том, что к середине следующего года окончательно прекратит поставки своего антивирусного продукта OneCare.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/11/11.html]
Взамен пользователям будет предложено новое антивирусное решение под кодовым именем Morro. Несмотря на опасения производителей антивирусов перед выпуском OneCare, за прошедшие два с половиной года Microsoft не удалось отъесть существенную долю антивирусного рынка. Возможно, бесплатному продукту все-таки удастся изменить картину.

Источник: eWeek теги: microsoft  |  обсудить  |  все отзывы (1)

««    «   201  |  202  |  203  |  204  |  205  |  206  |  207  |  208  |  209  |  210   »    »»

Предложить свою новость