Гугль пообещал залатать 40 с лишним дырок в YouTube
dl // 21.06.07 00:49
Не прошло и года, как Гугль сподобился дать ответ Кристиану Мэтьюсу (Christian Matthies), обнаружившему более 40 уязвимостей в YouTube.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/06/07.html]
Большая их часть приводила к XSS, некоторые позволяли внедрить в пользовательский профиль быстро распространяющего червя.

В течение нескольких месяцев команда Гугля никак не реагировала на сообщения Мэтьюса, после чего он просто не выдержал и опубликовал ультиматум, обещая обнародовать все найденные уязвимости, если с ним не свяжутся в течение двух недель. Через несколько дней Гугль отозвался, пообещав в ближайшее время заняться этими вопросами.

Источник: The Register теги: google, xss, уязвимости, youtube  |  обсудить  |  все отзывы (0)

Apple выпустила бету Safari, полную ошибок
dl // 12.06.07 21:50
Apple явно поторопилась с выпуском сырой беты "самого быстрого броузера на планете" под Win, гордо заявив на его странице, что "Apple engineers designed Safari to be secure from day one" - в считаные часы после анонса уже обнаружено по крайней мере четыре ситуации, приводящие к его вылету, три - к потенциальному удаленному исполнению кода (причем одна из ошибок, найденных в Windows-версии, оказалась воспроизводима и под OSX).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/06/06.html]
Отдельные проблемы возникли у пользователей локализованной Windows.

Источник: The Register теги: apple, safari, windows  |  обсудить  |  все отзывы (0)

Июньские обновления от MS
dl // 12.06.07 21:42
На этот раз шесть штук, по одному умеренному (возможная утечка информации в Висте за счет получения непривилегированным пользователем доступа к информации из локальных хранилищ) и важному (удаленное исполнение кода в Visio), четыре критических.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/06/05.html]

Все критические обновления связаны с латанием ошибок, допускающих удаленное исполнение кода и включают кумулятивное обновление для IE, кумулятивное обновление для Outlook Express и Windows Mail, исправление уязвимостей в Windows Schannel Security Package и некой функции Win32 API.

Источник: Microsoft Security Bulletin Summary for June 2007 теги: microsoft, уязвимости, outlook, windows  |  обсудить  |  все отзывы (0)

Две пары уязвимостей в IE и FireFox
dl // 05.06.07 11:22
Польский исследователь Михал Залевски (Michal Zalewski), регулярно обнаруживающий уязвимости в популярных броузерах, отчитался еще о четырех, по две в каждом.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/06/04.html]

Самая опасная досталась IE - в краткий момент перехода от одной страницы к другой атакующий может выполнить скрипт со старой страницы в контексте новой. Что открывает ряд интересных возможностей, включая кражу кук, внедрение кода и т.п. Вторая уязвимость IE относится к шестой версии и дает возможность атакующей странице прикинуться другим сайтом.

Первая уязвимость FF связана с обработкой встроенных фреймов и позволяет сторонним сайтам подменять их содержимое. Вторая связана с задержками, используемыми при выводе некоторых диалогов с подтверждением. При помощи цепочки операций потери и установки фокуса атакующий может принудить жертву загрузить и исполнить произвольный код.

Источник: The Register теги: уязвимости, ie, firefox  |  обсудить  |  все отзывы (0)

Google Desktop тоже оказался уязвимым к атакам man-in-the-middle
dl // 01.06.07 22:14
Буквально через день после обнародования информации о потенциальной уязвимости в большинстве популярных тулбаров для FireFox Роберт Хансен (Robert Hansen) продемонстрировал аналогичную атаку на Google Desktop.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/06/03.html]
Поскольку в своей работе Desktop взаимодействует с гуглевским сервером по незащищенному протоколу, врезавшийся в это взаимодействие атакующий вполне может встроить в приходящую страницу произвольный код на JavaScript, в том числе и позволяющий запустить любую программу на компьютере жертвы.

Как и в прошлом случае, наиболее очевидный сценарий использования включает заманивание потенциальных жертв на халявные точки WiFi.

Источник: InfoWorld теги: google, firefox  |  обсудить  |  все отзывы (0)

««    «   231  |  232  |  233  |  234  |  235  |  236  |  237  |  238  |  239  |  240   »    »»

Предложить свою новость