 |  |
https://bugtraq.ru/rsn/?page=223 |
|
|||
|
|
|
||
| https://bugtraq.ru/rsn/?page=223 |
||||
| ||||
XSS на Яндексе
dl // 17.01.08 13:30
Ссылка вида http://www.yandex.ru/yandsearch?text=%27+javascript_text с последующим переходом на "Advanced Search" приведет к исполнению переданного js-кода.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/01/07.html]
Реализация сценария затруднена необходимостью лишнего прохода по ссылке (при том, что в поле поиска маячит js-код), но нет предела пользовательскому совершенству, и если уж это произошло, те же куки уводятся на раз: http://www.yandex.ru/yandsearch?text=%27%2Balert%28document.cookie%29%2B%27
Update: ошибка исправлена, в открытом виде просуществовала менее 12 часов.
|
Источник: Андрей Денисюк теги: xss | обсудить | все отзывы (0) |
MS предупреждает об атаках на Excel
dl // 16.01.08 21:42
Microsoft выпустила предупреждение об атаках, использующих свежую уязвимость в Excel для удаленного исполнения кода и захвата пользовательской системы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/01/06.html]
Затронутые версии: Microsoft Office Excel 2003 Service Pack 2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel 2002, Microsoft Office Excel 2000, Microsoft Excel 2004 for Mac. По существующей информации, Microsoft Office Excel 2007, Microsoft Excel 2008 for Mac, Microsoft Office Excel 2003 Service Pack 3 чисты.
Пользователям пока предлагается не открывать xls-файлы, полученные из не внушающих доверия источников (что всегда является не самой плохой идеей).
|
Источник: Microsoft Security Advisory теги: microsoft, уязвимости, excel, service pack, mac | обсудить | все отзывы (0) |
Sun собралась прикупить MySQL
dl // 16.01.08 19:37
Sun объявила о планах покупки MySQL AB.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/01/05.html]
Предполагается, что 800 миллионнов долларов будут заплачены наличными и еще 200 в виде опционов. Как минимум, MySQL получит с этого новый уровень техподдержки, что предположительно сделает его более привлекательным для корпоративных пользователей. Ну а Sun подтверждает свою приверженность open source и собирает под свое крыло полный набор решений для построения internet/intranet-систем, от ОС до средств разработки.
|
Источник: Jonathan Schwartz's Blog теги: sun, open source, shopping, mysql | обсудить | все отзывы (2) |
MS улучшила защиту Vista Sidebar
dl // 10.01.08 13:29
Во вторник обновления для Висты пополнились и важным обновлением, улучшающим безопасность Vista Sidebar.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/01/04.html]
Гаджеты боковой панели по сути являются мини-программами, представляющими собой комбинацию html и различных скриптов. Поскольку они выполняются в локальном контексте, соответствующим образом подготовленный и подсунутый пользователю гаджет вполне может стать средством атаки на пользовательскую систему, как и любое локально устанавливаемое приложение.
Начиная с минувшего вторника, MS планирует вести список потенциально опасных гаджетов и раз в месяц рассылать обновления, включающие для них на пользовательских системах так называемый "kill bit". После чего при попытке загрузки такого гаджета он будет блокирован, а его иконка заменится на надпись "Bad Gadget". Вторничное обновление пока ничего не блокировало, а лишь сгенерировало уникальные идентификаторы для каждого гаджета.
Пока это обновление необязательно к установке (зависит от настроек Windows Update), но будет включено в готовящийся к выпуску Vista SP1. Утверждается, что в настоящее время не существует вредоносных или уязвимых гаджетов. Но свежие идеи в умах это известие, похоже, заронит.
|
Источник: InfoWorld, Microsoft Security Advisory теги: microsoft, vista, windows | обсудить | все отзывы (0) |
Январские обновления от MS
dl // 08.01.08 22:33
Одно критическое обновление, исправляющее две уязвимости в реализации TCP/IP, и одно важное, исправляющее возможное локальное повышение привилегий в LSASS.
|
Источник: Microsoft Security Bulletin Summary теги: microsoft, patch, уязвимости | обсудить | все отзывы (0) |
«« « 221 | 222 | 223 | 224 | 225 | 226 | 227 | 228 | 229 | 230  » »» |
|
|
|