Apple залатала 8 уязвимостей в QuickTime
dl // 22.01.09 20:00
Apple выпустила два патча для QuickTime, один из которых исправляет семь уязвимостей, связанных с обработкой данных, полученных от пользователей (6 - обработка файлов, одна - обработка url).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/01/09.html]
Все эти уязвимости могут использоваться для удаленных атак как на маковскую, так и на windows-версии. Еще один патч исправляет уязвимость, связанную с обработкой mpeg-2 в windows-версии плейера.

Источник: SecurityFocus теги: apple, quicktime, windows, уязвимости  |  обсудить  |  все отзывы (0)

ICQ: пора валить?
dl // 22.01.09 16:27
Во время вчерашнего ажиотажа вокруг отрубившихся альтернативных клиентов с легкой ностальгией перечитал свой старый текст по поводу icq.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/01/08.html]
Девять лет прошло, а ведь почти ничего не изменилось. Ну разве что одно - то, чего хотелось тогда в виде IM-клиента, использующего привязку к доменным именам, практически и реализовалось в виде современного Jabber'а, формально появившегося аж в 99-м, но набравшего обороты только в последнее время, не в последнюю очередь благодаря Googlе, использующему XMPP (с расширениями) в Google Talk.

Однако, к сожалению, технически грамотное решение не всегда обречено на пользовательский успех. Гибкость джабберовской распределенной схемы скорее вызовет ступор у рядовых пользователей, выясняющих после запуска клиента, что теперь им нужно выбрать один из кучи серверов (да еще и поверить, что регистрация на одном сервере позволит общаться с пользователями другого). Основные мои надежды в этом отношении связаны с упомянутым GTalk (который, правда, развивается довольно вяло), в России на популяризацию джаббера могут повлиять QIP и Я.Онлайн, но оптимизм мой тут весьма и весьма умеренный.

Что касается меня самого, то, несмотря на то, что Jabber остается в зоне периферийного внимания (и буду только рад, если он пойдет в широкие массы), не самые плохие шансы на то, чтобы стать следующим дефолтовым клиентом, имеет Skype. Я в курсе, что это очередные грабли с проприетарным протоколом, но за него (с моей точки зрения) говорят три аргумента. Во-первых, он работает где угодно. Способность скайпа пролезть в самую маленькую дырку - головная боль для администратора, заботящегося о глупых пользователях, не способных обеспечить свою безопасность, и манна небесная для адекватного пользователя, страдающего от ретивых администраторов. Все зависит от шляпы, в которой я нахожусь в данный момент :) Во-вторых, он уже сейчас есть у большинства тех контактов, с которыми я постоянно общаюсь. Так уж сложилось, что имея изначально текстовую icq, все ставили скайп для голосового общения (msn aka live/yahoo у нас все-таки пошли не так активно - хотя насчет live я бы не зарекался, прогресс там очень неплохой), а при миграции с icq возникает вопрос, зачем искать для сообщений что-то еще, раз уж это и так есть в скайпе. В третьих, для скайпа, похоже, не получится придумать идиотские погонялова типа "аська", "ирка", "мыло", "жаба" :)

Кстати, радостные сообщения о том, что после очередного обновления альтернативных клиентов они заработали, скорее всего, имеют мало отношения к реальности. Вчера клиенты показывали, что к сети подключены, но получали в лоб при отправке сообщений; попытка прикинуться icq 6.5 в клиентах, которые это могли, у кого-то срабатывала, у кого-то нет. Сегодня все заработало и на машинах, на которых ничего не обновлялось. Значит, никакой смены протоколов не было, а была принудительная блокировка, использующая какую-то информацию, отсылаемую клиентом при коннекте - скорее всего, набор capabilities, а может быть, даже ориентирующаяся на то, скачал ли клиент очередную порцию рекламы, с них станется. Сегодняшнее же возобновление работы - не заслуга авторов клиентов, а снятие этой самой блокировки (может быть, в том числе и для того, чтобы альтернативщики временно расслабились, вообще ведь очень противно ломать защиту, которая то проявляется, то нет).

Update: Впрочем, есть шанс, что я был излишне категоричен, и за сегодняшнее восстановление работы следует сказать спасибо как раз авторам альтернативных клиентов - согласно этой версии, блокировка была снята после того как им все-таки удалось раскрыть признак, по которому отличали родных клиентов. Что, разумеется, не дает повода вздохнуть с облегчением - почти наверняка попытки фильтрации будут возобновлены.

теги: icq, google, yahoo, skype  |  обсудить  |  все отзывы (94)

22-летний канадец ухитрился подарить 150 тысяч долларов "нигерийским спаммерам"
dl // 15.01.09 02:39
Нигерийским спамом называется схема мошенничества, при которой жертва получает ну очень выгодное предложение помочь вытащить капитал, оставшийся от бывшего президента/короля/миллионера из какой-нибудь страны типа Нигерии (жители которой ну очень активно играли в эти игры, но встречаются и другие варанты - из России обычно спасают миллиарды Ходорковского, из Англии пытаются отмыть наследство и т.п.).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/01/07.html]
Все, что нужно адресату - предоставить свой банковский счет, ну может скататься в соседнюю страну лично и получить за эти услуги десяток-другой миллионов в виде процентов. По пути к миллионам, правда, выясняется, что нужно заплатить какую-нибудь пошлину или завести депозитный счет на несколько тысяч долларов, но это ж сущие мелочи на фоне грядущих прибылей - жаль, что до них-то дело никогда и не доходит.

Впрочем, счет иногда идет и на сотни тысяч, как это недавно случилось с водителем грузовика Джоном Ремпелом из Лимингтона (Онтарио, Канада). На его долю выпал вариант с наследством от бездетного английского однофамильца, жаждущего осчастливить кого-нибудь из Ремпелов 12.8 миллионами долларов (впрочем, Нигерия в процессе все-таки всплыла). Для начала потребовалось 2.5 тысячи, чтобы осуществить перевод, потом еще 5 тысяч на оформление дополнительных документов, потом еще 5 тысяч на открытие счета в лондонском банке, потом выяснилось, что нужно оплатить налог размером в 250 тысяч, который усилиями доброго адвоката скостили до 25 тысяч, потом Ремпел скатался в Лондон, где передал 10 тысяч наличными, в обмен на что ему показали чемодан с 10.6 миллионами долларов, закатанными в пластик, и снабдили какой-то жидкостью для смывания неких штампов с банкнот (возможно, так по их представлениям выглядел процесс отмывания?), продемонстрировав в качестве доказательства, как оно все работает.

Дальше Ремпел вернулся в отель с волшебной бутылкой и стал дожидаться остальных. Те, правда, до него не добрались, рассказав историю про ограбление, а Ремпел не иначе как с горя разбил бутылку. Дальше парень вернулся домой, а мошенники рассказали ему, что для второй порции волшебной жидкости потребуется еще 120 штук. Сотню, они, правда, уже раздобыли, но нужно еще 20 тысяч, а заодно еще несколько авиабилетов тысяч по 6 каждый, чтобы собрать участников, разбросанных по разным странам. Потом потребовалось еще 5 тысяч, потом 6900 на транспортные расходы, потом последовала просьба из Нью-Йоркского аэропорта поспособствовать со взяткой в 12500. На этой просьбе Ремпел сломался, взял родителей и 10-летнего брата, поехал в Нью-Йорк, потратил там день на поиск в аэропорту, и, никого не встретив, вернулся домой и обратился в полицию.

Всего на эти манипуляции у смекалистого канадца ушло около 150 тысяч долларов, 55 тысяч из которых он занял у дяди из Мексики, а 60 тысяч - у родителей.

Источник: The Windsor Star теги: stuff  |  обсудить  |  все отзывы (79)

Утечка личной информации в Safari
dl // 14.01.09 16:15
Уязвимость во встроенном в Safari RSS-агрегаторе приводит к возможной утечке электронной почты, паролей и кук.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/01/06.html]
В качестве временной меры защиты пользователям предлагается выставить в настройках в качестве Default RSS reader что угодно, кроме Safari.

Источник: ZDNet теги: safari, уязвимости  |  обсудить  |  все отзывы (0)

Квартальная серия патчей Oracle
dl // 14.01.09 15:51
Oracle выпустила первое в этом году большое квартальное обновление, исправляющее в общей сложности 41 критическую уязвимость в различных продуктах компании.

Источник: Oracle Critical Patch Update Advisory теги: oracle  |  обсудить  |  все отзывы (0)

««    «   191  |  192  |  193  |  194  |  195  |  196  |  197  |  198  |  199  |  200   »    »»

Предложить свою новость