CGI-уязвимость в PHP: второй подход к снаряду
dl // 09.05.12 17:54
The PHP Group со второй попытки все-таки закрыла уязвимость, позволяющую на некоторых конфигурациях просматривать исходники скриптов, выполнять удаленный код и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/05/09.html]
Кроме того, PHP 5.4.3 и PHP 5.3.13 закрывают еще одно переполнение буфера в функции apache_request_headers.

Надо сказать, что cgi-уязвимость не осталась без внимания взломщиков - так, хостинг-провайдер Dreamhost за время, прошедшее с момента ее обнародования, зафиксировал 234 076 попытки ее использования на 151 275 отдельных доменах.

Источник: InfoWorld теги: php  |  обсудить  |  все отзывы (1)

Adobe пропатчила Shockwave, Flash, Photoshop, Illustrator
dl // 09.05.12 00:00
Синхронно с Microsoft Adobe выпустила исправления критичных уязвимостей в Adobe Shockwave Player, Adobe Flash Professional CS5.5, Adobe Photoshop CS5.5, Adobe Illustrator CS5.5.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/05/08.html]
Все - потенциально приводящие к исполнению произвольного кода и захвату системы. К сожалению, апдейт приложений из CS включен лишь в CS6 и подразумевает платное обновление.

Источник: ZDNet теги: adobe  |  обсудить  |  все отзывы (0)

Майские обновления от MS
dl // 08.05.12 21:21
Семь обновлений, три критичных и четыре важных, закрывающие в общей сумме 23 уязвимости.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/05/07.html]
Критичные: устранение удаленного исполнения кода в Word, .NET и комплекта из трех уязвимостей, затрагивающих систему, .NET, Silverlight, Office. Важные - еще одно удаленное исполнение кода в Office и Visio и повышение привилегий в стеке TCP/IP и Windows Partition Manager.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Присяжные признали Google частично виновной в нарушении копирайта на Java API
dl // 08.05.12 14:14
В проходящем в Калифорнии разбирательстве "Oracle против Google" присяжные вынесли довольно половинчатый вердикт.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/05/06.html]

С одной стороны, был получен положительный ответ на вопрос о том, удалось ли Oracle доказать нарушение прав собственности при копировании структуры, последовательности и организации Java API. Также признан факт копирования кода одной из трех представленных на рассмотрение функций (совершенно героическая 9-строчная функция rangeCheck).

С другой стороны, отвергнуто обвинение в нарушениях, относящихся к документации. В пользу Google рассмотрен и вопрос о том, дали ли Sun/Oracle основания считать ("reasonable lead Google to believe"), что использование Java API не потребует лицензирования - хотя и не подтверждено, что Google действительно на это полагалась.

Наконец, по итогам суда осталось неясно, можно ли вообще рассматривать API как объект интеллектуальной собственности (вокруг чего, собственно, в основном и ломаются копья). Сначала судья оставил этот ключевой вопрос в стороне и посоветовал присяжным рассматривать предъявляемые доказательства, как если бы копирайт на API был возможным. Ближе к концу, однако, он сделал некоторые замечания, из которых следовало, что его позиция по этому вопросу может быть сходной с гуглевской (сравнивая API с идеей написания путеводителя).

Сразу после окончания первой фазы разбирательства началась следующая, связанная с патентами.

Хотя в целом можно говорить о первой победе Oracle в этом деле, сама победа эта может оказаться пирровой и крайне отрицательно сказаться на популярности самой Java. Не говоря уж об проблемах для всей отрасли, связанными с узаконенным копирайтом на API.

Источник: Ars Technica теги: oracle, java, google  |  обсудить  |  все отзывы (0)

Февральское обновление Lion раскрыло пользовательские пароли
dl // 06.05.12 20:51
Вышедшее в феврале обновление OS X Lion 10.7.3 привело к появлению в некоторых конфигурациях систем отладочного лога, в котором совершенно открыто сохраняются пароли всех логинившихся пользователей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/05/05.html]

Уязвимость затрагивает пользователей, использовавших старую систему шифрования файлов FileVault (шифрующую домашний каталог) и не обновивших ее на FileVault 2 (шифрующую весь диск) при апгрейде на Lion. Т.е. пользователи, озаботившиеся шифрованием своих данных, в итоге на три месяца оставили свою систему открытой для всех, имеющих физический доступ к диску (лог лежит в незашифрованной области), бэкапам Time Machine и т.п. Это дает и новые возможности для удаленных атак - знание фиксированного места, где открыто лежат пользовательские пароли, будет большим подарком.

Как минимум один пользователь заметил эту проблему еще три месяца назад, обратившись с вопросом на форуме поддержки. Молчание было ему ответом.

Источник: ZDNet теги: apple  |  обсудить  |  все отзывы (0)

««    «   111  |  112  |  113  |  114  |  115  |  116  |  117  |  118  |  119  |  120   »    »»

Предложить свою новость