Google включил двухфакторную авторизацию в бесплатных сервисах
dl // 11.02.11 00:57
Спустя пять месяцев после появления двухфакторной авторизации в Google Apps Premier, Education и Government возможность ее использования добавили и в привычные бесплатные гуглевские сервисы, начиная с gmail.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/02/05.html]
При ее включении в настройках аккаунта при каждой попытке логина потребуется вводить дополнительный код, отправленный на мобильный.

При желании можно включить 30-дневное запоминание верификации компьютера, с которого произошел логин. Кроме того, для уменьшения риска перехвата пароля при работе с внешними приложениями, использующими гуглевский аккаунт, но не умеющими отправлять sms, появилась возможность создания отдельных привязанных к ним паролей.

Источник: Google Online Security Blog теги: google  |  обсудить  |  все отзывы (5)

Windows 7 SP1 передан партнерам, а IE9 добрался до RC
dl // 10.02.11 21:12
Microsoft передала OEM-партнерам RTM-версии Windows 7 и Windows Server 2008 R2 Service Pack 1.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/02/04.html]
С 16 февраля они будут доступны подписчикам MSDN и TechNet, а с 22 февраля всем пользователям через Windows Update.

Полные номера сборок RTM-версий, как и ожидалось, 7601.17514.101119-1850 - что полностью соответствует утекшей месяц назад версии и, кстати, говорит о том, что собраны они были еще 19 ноября прошлого года. Предположительно такая большая задержка была связана с желанием синхронизировать выход SP1 с ожидающимся в конце февраля/начале марта выходом IE9, release candidate которого был выпущен сегодня.

Источник: The Windows Blog теги: microsoft, service pack, ie  |  обсудить  |  все отзывы (0)

Oracle оперативно залатала десятилетнюю уязвимость в Java
dl // 10.02.11 01:04
Oracle достаточно оперативно отреагировала на сообщения об уязвимости в Java, связанной с обработкой вещественных значений, выпустив исправляющее ее обновление.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/02/03.html]
Между тем, появились сообщения, что о данной ошибке предупреждали еще Sun аж в 2001 году. Ну, лучше поздно, чем никогда.

Источник: The Register теги: oracle, java  |  обсудить  |  все отзывы (1)

Февральские обновления от MS
dl // 08.02.11 22:13
На этот раз 12, три из которых критические.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/02/02.html]
Закрывают 21 уязвимость, для большинства из которых индекс используемости равен 1 (т.е. вполне вероятно успешное использование для атаки).

Критические включают кумулятивное обновление для IE, исправление удаленного исполнения кода в графическом модуле Windows Shell и удаленное исполнение кода в драйвере OpenType Compact Font Format. Важные - удаленное исполнение кода в ftp-службе IIS, удаленное исполнение кода в Visio, DoS на Active Directory, возможную утечку информации из-за уязвимостей в интерпретаторах JScript и VBScript, а также целых пять исправлений, устраняющих повышение привилегий - в подсистемах Client/Server Run-time Subsystem (CSRSS) и Local Security Authority Subsystem Service (LSASS) из XP и Server 2003, в ядре, в драйвера уровня ядра, в реализации Kerberos.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Волшебные числа сводят Java с ума
dl // 08.02.11 02:35
В актуальной версии Java обнаружилась уязвимость, связанная с обработкой чисел с плавающей точкой.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/02/01.html]
Присваивании double-переменным чего-нибудь очень маленького с большим количеством значащих цифр (конкретные "волшебные" числа лежат в диапазоне от 2.2250738585072011E-208 до 2.2250738585072013E-208) уводит фреймворк в бесконечный цикл со стопроцентной загрузкой процессора. Как минимум уязвимости подвержены 32 и 64-битные windows-версии JRE/JDK 1.6.0_23, проверялась (успешно) и 32-битная OpenSuse-версия. Судя по всему, ошибка заключена в коде, отвечающем за аппроксимацию вещественных значений - код, пытающийся подобраться как можно ближе к правильному значению, в подобных условиях просто зацикливается.

Любопытно, что всего месяц назад точно такая же проблема была обнаружена в PHP. Тогда у разработчиков ушло всего два дня на исправление, но вряд ли стоит ожидать такой оперативности от Oracle. С учетом того, сколь незначительными усилиями можно использовать данную уязвимость для эффективной DoS-атаки, разработчикам стоит самим взяться за спасение утопающих. В качестве основного рецепта предлагается фильтровать потенциально вредоносную последовательность 2.225073858507201 (вредоносные числа, мама дорогая) перед конвертацией полученных извне строк в числа.

Источник: The Register теги: oracle, java  |  обсудить  |  все отзывы (2)

««    «   151  |  152  |  153  |  154  |  155  |  156  |  157  |  158  |  159  |  160   »    »»

Предложить свою новость