 |  |
https://bugtraq.ru/rsn/?page=37 |
|
|||
|
|
|
||
| https://bugtraq.ru/rsn/?page=37 |
||||
| ||||
Очередной ежеквартально-рекордный патч от Oracle
dl // 25.04.17 18:08
На этот раз 299 уязвимостей, из которых более 100 можно использовать удаленно.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/04/01.html]
Из заметного: 47 приходится на Oracle Financial Services Applications, по 39 на MySQL и Oracle Retail Applications, 31 на Oracle Fusion Middleware, 8 на Java и 3 на Oracle Database Server.
|
Источник: Oracle Critical Patch Update Advisory теги: oracle, patch | обсудить | все отзывы (0) |
Мартовские обновления от MS
dl // 14.03.17 23:57
Всего 18, половина из которых критичных, закрывающих рекордные 140 уязвимостей (видимо, сказался отозванный февральский набор).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/03/01.html]
Набор впечатляющий: кумулятивные обновление IE и Edge; удаленное исполнение кода в Windows Hyper-V, Windows PDF Library, SMB Server, Microsoft Uniscribe, iSNS Server, Microsoft Graphics Component, Microsoft Office, Exchange Server, IIS, Adobe Flash Player; эскалация привилегий в ядре и драйверах уровня ядра, утечка информации в Active Directory Federation Services, Windows DVD Maker, Windows DirectShow, Microsoft XML Core Services.
|
Источник: Microsoft Security Bulletin Summary теги: microsoft, patch | обсудить | все отзывы (0) |
Google продолжила обнародовать неисправленные уязвимости в Windows
dl // 28.02.17 02:46
Неделю спустя обнародованной уязвимости в GDI Google вытащила на свет уязвимость в Internet Explorer 11 и Microsoft Edge, о которой сообщила Microsoft еще 25 ноября.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/02/08.html]
Уязвимость позволяет выполнить произвольный код, подсунув подготовленную комбинацию CSS и JavaScript. Образец из полутора десятка строк прилагается.
|
Источник: Ars Technica теги: google, microsoft | обсудить | все отзывы (0) |
Коллизии в SHA-1 портят репозитарии SVN
dl // 25.02.17 15:32
Недавняя демонстрация коллизий в SHA-1 внезапно потянула за собой ряд крайне практических (и неприятных) последствий.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/02/07.html]
Дело в том, что популярная система контроля версий Apache SVN использует именно хэши SHA-1 для контроля уникальности файлов. И, как выяснили на себе владельцы репозитария WebKit, заливка двух разных pdf с одинаковыми хэшами приводит к полной неработоспособности репозитария, после чего svn-сервер прекращает принимать коммиты. Пока не вполне понятно, как справиться с проблемой, кроме как откатиться на последний работоспособный бэкап, так что желающим срочно проверить баг лучше держать себя в руках.
|
Источник: Ars Technica теги: crypto, sha | обсудить | все отзывы (2) |
Уязвимость Cloudflare подставила пользователей множества сайтов
dl // 24.02.17 18:17
Популярный CDN-провайдер Cloudflare, услугами которого пользовались многие сайты в целях снижения нагрузки и противодействия DDoS-атакам, почти полгода внедрял случайные фрагменты оперативной памяти своих серверов в содержимое веб-страниц, отдаваемых пользователям.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/02/06.html]
При определенном усердии в течение этого времени можно было накапливать отдаваемую информацию в поисках критичной информации - в первую очередь сессионных ключей, паролей, номеров кредиток и прочих данных, передаваемых как по http, так и по https (последнее особенно неприятно).
Уязвимость уже закрыта, но список потенциальных пострадавших насчитывает более 4 миллионов сайтов, включая authy.com, uber.com, medium.com, thepiratebay.org, pastebin.com. Собственно говоря, часть данных до сих пор может просто лежать в кэшах поисковиков. В сообщении Clodflare говорится, что уже обнаружено и вычищено 770 подобных страниц.
В ближайшие дни ожидается масса призывов срочно сменить пароли от пострадавших сервисов и слова утешения от тех, кто не был затронут (насчет 1Password, например, уже поспешили заверить, что не рассчитывали на безопасность ssl/tls).
|
Источник: Gizmodo теги: leak | обсудить | все отзывы (0) |
«« « 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40  » »» |
|
|
|