Ноябрьские обновления от MS
dl // 10.11.09 21:36
На этот раз скромнее - всего 6, из которых три критических.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/11/06.html]
Критические: устранение удаленного исполнения кода в Web Services on Devices API, License Logging Server и в обработке шрифтов Embedded OpenType. Важные - DoS в службе Active Directory и удаленное исполнение кода в Excel и Word.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch, word, excel, server, dos  |  обсудить  |  все отзывы (0)

Серьезная уязвимость в SSL/TLS: и еще один привет 90-м
dl // 07.11.09 00:37
Еще одна серьезная уязвимость в одном из ключевых интернет-протоколов добралась до нас из прошлого века.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/11/05.html]
Исследователи из PhoneFactor обнаружили уязвимость в протоколе TLS, позволяющую вклиниться в устанавливаемое защищенное соединение. Проблема восходит к середине 90-х, когда была опубликована спецификация TLS, и носит принципиальный характер, не зависящий от реализации.

Точнее, основная проблема заключается в сочетании поведения SSL/TLS и работающего поверх него прикладного протокола HTTP. В спецификацию TLS заложена возможность повторной установки сессии любой стороной, что и позволяет злоумышленнику вклиниться в процесс установки соединения с сервером: задержать исходный пакет, установить соединение самостоятельно, после чего пропустить исходный пакет, что будет воспринято сервером как вполне легальное повторное соединение. На этом этапе серверу по-хорошему надо бы перезапросить сертификат, но прикладному уровню не очень интересно, что происходит там внизу. Таким образом атакующий оказывается в состоянии подсунуть в защищенную сессию некий дополнительный код (например, заголовки или значения каких-то полей, кук, или просто врезать в начало http-запроса команду GET с произвольным путем), который будет воспринят сервером как исходящий от легального пользователя.

Уязвимость была обнаружена в августе, в конце сентября основные производители SSL решений создали рабочую группу, задачей которой была выработка единого подхода к решению проблемы и разработка рекомендаций по снижению эффекта от уязвимости. В настоящее время разработчики OpenSSL и GNU TLS уже приступили к тестированию патчей, другие производители находятся на разных этапах работы.

Источник: The Register теги: ssl, retro, уязвимости  |  обсудить  |  все отзывы (0)

Ubuntu 9.10 - растущее разочарование
dl // 06.11.09 11:45
Многие пользователи, поторопившиеся установить свежевышедшую версию популярного дистрибутива, испытали массу удовольствия - особенно при попытке апгрейда установленной системы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/11/04.html]
Основные косяки связаны с видеодрайверами (моргающие либо черные экраны), нераспознаванием жестких дисков, зашифрованными разделами.

Проблемы, впрочем, не носят универсальный характер - на ряде конфигураций система встает гладко, либо с минимальными ошибками. Согласно опросу на ubuntu forums, доли пользователей, установивших/обновивших систему нормально, с минимальными проблемами и проблемами, которые они не смогли решить, примерно равны. Однако с учетом того, что первыми на новую систему обычно бросаются энтузиасты, имеющие в среднем более высокую квалификацию, картина вырисовывается безрадостная.

Источник: The Register теги: linux  |  обсудить  |  все отзывы (8)

Кража данных популярными играми для iPhone
dl // 06.11.09 11:28
Согласно иску, поданному в окружной суд Северной Калифорнии, производитель ряда популярных iPhone-игр Storm8 встраивал в них код, позволяющий обходить встроенную в систему защиту от доступа к пользовательской информации.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/11/03.html]
Это уже не первый раз, когда Storm8 обвиняется в шпионаже за пользователями - в августе компания признала, что собирает телефонные номера своих пользователей, свалив всю вину на уже исправленную ошибку в коде.

Источник: The Register теги: iphone  |  обсудить  |  все отзывы (2)

Firefox наконец-то обошел IE6
dl // 04.11.09 13:33
Согласно ежемесячному отчету Net Applications, пользователей, использующих Firefox, наконец-то стало больше, чем пользователей IE6 - 24.07 процента против 23.30.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/11/02.html]
Общая доля пользователей IE слегка снизилась, но продолжает оставаться на недосягаемом уровне в 64.64 процента. Далее следуют Safari с 4.42, Chrome с 3.58 и Opera с 2.17.

Столь высокая доля IE6 просто удивительна - насколько я понимаю, для сохранения его в системе с автообновлениями нужно приложить очень отдельные усилия, на которые рядовые пользователи просто не пойдут. Другими словами, четверть пользователей отважно сидит в сети с необновленными системами - вот она, питательная среда для ботнетов.

Источник: Slashdot теги: firefox, opera  |  обсудить  |  все отзывы (3)

««    «   171  |  172  |  173  |  174  |  175  |  176  |  177  |  178  |  179  |  180   »    »»

Предложить свою новость