BugTraq.Ru: RSN

Russian Security Newsline
Хотите установить RSN на своем сайте?

ARP poisoning в сетях Агавы
dl // 09.04.08 20:33
Похоже, что сетевое оборудование Агавы оказалось беззащитно перед классическими атаками класса ARP poisoning (оно же ARP spoofing).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/04/02.html]
Другими словами, любой клиент, подключенный к сети, может перенаправить на свой хост трафик других клиентов. Что открывает широчайшие возможности как для простого перехвата информации, так и для атак man-in-the-middle.

Впрочем, подоспела информация, что на многих dedicated-хостингах ситуация ничуть не лучше - видимо, как это было в золотые 90-е на shared-хостингах, мало кто ожидает от клиентов попыток взлома соседей (хотя и сценарий "поломали одного, пошли по цепочке" тоже вполне реален). Так что счастливым владельцам арендованных/установленных в датацентрах серверов стоит полюбопытствовать у своих хостеров, озаботились ли они этим вопросом.

Источник: форум nag.ru
обсудить | все отзывы (2)

Апрельские обновления от MS
dl // 09.04.08 01:56
Три важных, пять критических.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/04/01.html]
Важные: уязвимость в DNS-клиенте, открывающая возможность для спуфинга, повышение привилегий за счет уязвимости в ядре, удаленное исполнение кода в MS Visio. Критические: удаленное исполнение кода в MS Project, удаленное исполнение кода в GDI при обработке EMF/WMF-файлов, удаленное исполнение кода в движках VBScript и JScript, кумулятивное обновление для IE, обновление, блокирующее Yahoo! Music Jukebox.

Источник: Microsoft Security Bulletin Summary
теги: microsoft, patch, yahoo, уязвимости | обсудить | все отзывы (0)

C 18 апреля, возможно, Vista SP1 будет устанавливаться принудительно
dl // 28.03.08 21:19
По предварительной информации, начиная с 18 апреля Vista SP1 появится в Windows Update уже в качестве критического обновления и будет автоматически устанавливаться на все обновляемые системы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/03/17.html]
9 апреля ожидается выход SP1 на 36 языках, включая русский.

Источник: Tip and Trick
теги: vista, service pack, windows | обсудить | все отзывы (2)

Более четверти падений Висты связаны с кривыми драйверами NVIDIA
dl // 28.03.08 19:40
Среди материалов, обнародованных в рамках подготовки процесса о "Vista-capable" системах (которые оказались не слишком уж capable), проскочила любопытная информация о причинах более полутора миллионов падений системы, документированных Microsoft.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/03/16.html]
Первое место с приличным отрывом занимают драйверы от NVIDIA - почти 29%. Следом идут падения, вызванные драйверами и системным софтом самой Microsoft - 18%, далее - 17% "неизвестных". Далее идут ATI и Intel с 9.3% и 8.8% соответственно.

Источник: ars technica
теги: vista, microsoft | обсудить | все отзывы (0)

В конкурсе по взлому Vista, MacOS и Ubuntu первым спекся MacBook Air, а Vista споткнулась на Adobe Flash
dl // 28.03.08 01:56
26 марта стартовал конкурс CanSecWest PWN to OWN.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/03/15.html]
Участникам предлагалось на выбор атаковать и прочитать содержимое заданного файла на трех ноутбуках - VAIO VGN-TZ37CN с Ubuntu 7.10; Fujitsu U810 с Vista Ultimate SP1; MacBook Air с OSX 10.5.2.

Все системы были полностью пропатчены и запущены в стандартной конфигурации, участники взаимодействовали с ними через прямое подключение по кроссоверу, независимо от других. Согласно условиям конкурса, победитель уносит с собой поверженный ноутбук и приз в 20 тысяч долларов при удаче в первый день соревнования, 10 тысяч при успешной атаке во второй, и 5 - в третий.

В первый день системы были открыты только для "честных" удаленных атак, исключающих действия пользователя атакуемой машины. Этот день не принес успеха никому.

Во второй день были разрешены также атаки на любые идущие в стандартной поставке прикладные программы и действия с ними, включая чтение почты, открытие полученных ссылок и т.п. Этот день принес победу над MacBook Air - Чарли Миллер (Charlie Miller), известный одним из первых взломов iPhone, использовал уязвимость в Safari для захвата управления системой.

Vista и Ubuntu пока выстояли, перейдя в третий тур. Тут в игру вступят некоторые популярные сторонние приложения.

Update: в последний день конкурса был сломан ноутбук с Vista Ultimate - после того как на него была установлена последняя версия Adobe Flash, в которой обнаружилась свежая и еще не обнародованная уязвимость.

Источник: eWeek
теги: vista, adobe, flash, iphone | обсудить | все отзывы (4)

«« « 211 | 212 | 213 | 214 | 215 | 216 | 217 | 218 | 219 | 220 » »»

Предложить свою новость