BugTraq.Ru: RSN

Russian Security Newsline
Хотите установить RSN на своем сайте?

Октябрьские обновления от MS
dl // 10.10.12 00:00
Всего 7, одно критичное, шесть важных.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/10/02.html]
Критичное исправляет удаленное исполнение кода в Word, остальные - удаленное исполнение кода в Works (кто-нибудь этим вообще пользуется??), FAST Search Server 2010, эскалацию привилегий в SQL Server, ядре, компонентах HTML Sanitization, DoS на Kerberos.

Источник: Microsoft Security Bulletin Summary
теги: microsoft, patch | обсудить | все отзывы (0)

XSS в школьном журнале
dl // 01.10.12 20:06
Потенциальный подарок ученикам шести сотен школ.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/10/01.html]
XSS в форме для логина на первый взгляд не выглядит особо перспективным; с другой стороны, обработчик формы реагирует и на GET-запрос, так что в сочетании с фишингом шансы есть.

Источник: Security Effect
теги: xss | обсудить | все отзывы (3)

Adobe разгребает последствия взлома
dl // 28.09.12 14:14
После обнаружения двух вредоносных утилит, подписанных сертификатом Adobe, компания провела расследование и выяснила, что воздействию подвергся один из серверов, занимающихся сборкой ПО.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/08.html]
Сервер не имел прямого доступа к приватному ключу, но мог делать запросы о формировании цифровой подписи.

Кроме того, на сервере использовался отдельный аккаунт для получения доступа к коду одного продукта, так что у взломщиков была потенциальная возможность внести в него изменения. Имя продукта не называется, лишь уточняется, что это не были Flash Player, Adobe Reader, Shockwave Player или Adobe AIR. Впрочем, по словам Adobe, модификаций или утечек кода замечено не было.

4 октября планируется отзыв скомпрометированного сертификата. Этот отзыв повлияет практически на все Windows-продукты Adobe, выпущенные после 10 июля, а также три AIR-приложения, доступные для Windows и Macintosh. Для всех потенциально затронутых приложений уже выпущены обновления.

Источник: Adobe
теги: adobe, leak | обсудить | все отзывы (0)

Бэкдор в phpMyAdmin
dl // 26.09.12 03:01
Разработчики популярного веб-интерфейса предупреждают о том, что одно из зеркал SourceForge раздавало вариант phpMyAdmin с модифицированным файлом server_sync.php, допускающим удаленное выполнение произвольного php-кода.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/07.html]
Затронут был только phpMyAdmin-3.5.2.2-all-languages.zip.

Источник: phpMyAdmin
теги: php | обсудить | все отзывы (0)

Сброс Samsung Galaxy при просмотре веб-страниц
dl // 25.09.12 20:02
Фантастический подарок получили пользователи Samsung Galaxy SII (насчет третьей и Note пока противоречивые сведения).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/06.html]
Попытка открыть адрес вида tel:*2767*3855%23 (в том числе простое открытие страницы с iframe, в url которого есть эти символы) приводит к честному отрабатыванию USSD-кода *2767*3855# с немедленным сбросом всех настроек и потерей пользовательских данных.

Понятно, что эта схема заставляет уязвимый аппарат выполнить любую USSD-команду, полный сброс - лишь наиболее яркая демонстрация. Не исключено, что подобная проблема присутствует и в некоторых смартфонах HTC.

Поневоле заставляет вспомнить золотые времена, когда некоторые модемы честно выполняли AT-команды, встретившиеся в передаваемых текстовых файлов.

Источник: Pocket-lint
теги: android | обсудить | все отзывы (8)

«« « 111 | 112 | 113 | 114 | 115 | 116 | 117 | 118 | 119 | 120 » »»

Предложить свою новость