Серьезная уязвимость в Flash Player
dl // 28.05.08 10:46
Flash Player вплоть до последней версии (9.0.124.0) содержит уязвимость, допускающую удаленное исполнение кода на клиентской машине - просто при просмотре соответствующей веб-страницы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/05/08.html]
Исправление отсутствует, в то время как по крайней мере 20 тысяч сайтов уже используют эту уязвимость.

Update: Symantec слегка поторопилась, сообщив о новой уязвимости.

Источник: The Register теги: symantec, flash, уязвимости  |  обсудить  |  все отзывы (0)

Черви ВКонтакте
dl // 17.05.08 15:38
Служба вирусного мониторинга компании "Доктор Веб" предупреждает о распространении по социальной сети "ВКонтакте.Ру" нового червя.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/05/07.html]

Червь рассылает с инфицированных машин другим пользователям сети ссылку на jpeg-файл, вместо которого реально отдается исполняемый файл deti.scr. При запуске он сохраняет на локальном диске картинку, за которой пришел пользователь, и вызывает штатный просмотрщик, в итоге не вызывая у пользователя никаких подозрений. Тем временем червь устанавливает себя в качестве системного сервиса, ищет в куках пароль к ВКонтакте и в случае успеха рассылает ссылку на себя по всем контактам пользователя. Кроме того, 25 числа каждого месяца выводится пугающее сообщение, а пока пользователь его читает, начинается очистка диска C: от всех файлов.

Распространение червя через социальную сеть уже остановлено, но масса зараженных систем ждет 25-го числа, так что пользователям рекомендуется срочно провериться на предмет заражения.

Источник: Доктор Веб обсудить  |  все отзывы (2)

Предсказуемый ГСЧ и небезопасные ключи в Debian/Ubuntu
// 14.05.08 09:40
Два года назад разработчики Debian "исправили" "ошибку" (как они считали) в пакете OpenSSL.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/05/06.html]
Перечислять все сферы применения этого пакета, думаю, не стоит, ибо он используется повсеместно и, прежде всего, для выработки ключевого материала SSL, SSH и OpenVPN.

"Ошибка", которая была "исправлена", заключалась в использовании неинициализированной памяти. В большинстве случаев такое исправление было бы разумным, если бы не затрагивало пул и генератор случайных чисел (ГСЧ) OpenSSL. В итоге генератор был лишён возможности добавлять новую энтропию в пул, что делает крайне предсказуемыми все получаемые из него данные и, как следствие, генерируемые шифроключи. (Такой проблемы бы не произошло, поступи разработчики Debian, как дОлжно: вместо патченья пакета в собственном депозитарии, им следовало передать патч апстриму — разработчикам OpenSSL, которые от такой вольности просто попадали бы со стульев от смеха.)

Все пользователи Debian и Ubuntu должны исходить из того, что все шифровальные ключи для SSL, SSH и OpenVPN, сгенерированные ими в последние два года, скомпрометированы! Действуйте исходя из этого.

Источник: Debian Security Letter обсудить  |  все отзывы (11)

Майские обновления от MS
dl // 13.05.08 23:42
Всего четыре - три критических, исправляющих удаленное исполнение кода в Word, Publisher и Jet Database Engine, и одно важное, исправляющее потенциальный DoS из-за двух уязвимостей в Microsoft Malware Protection Engine.

Источник: Microsoft Security Bulletin Summary теги: microsoft, word, dos  |  обсудить  |  все отзывы (0)

25-летний баг в BSD
dl // 12.05.08 17:15
Один из разработчиков OpenBSD обнаружил ошибку в реализации функции seekdir, восходящую по крайней мере к 4.2BSD (август 1983).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/05/04.html]
Выяснилось это во время разбора падений Samba на файловой системе MS-DOS (FAT16?), в процессе которого разработчики Samba признались, что давно используют свою реализацию этой функции под BSD из-за некорректной работы системной. Не вполне понятно, что им помешало рассказать об этом раньше.

Источник: vnode.ch теги: dos  |  обсудить  |  все отзывы (0)

««    «   211  |  212  |  213  |  214  |  215  |  216  |  217  |  218  |  219  |  220   »    »»

Предложить свою новость