Митник в Москве
dl // 11.02.05 00:59
MITNICK.COM.RU по горячим следам публикует отчет о конференции "Информационная безопасность предприятия: как противостоять новым угрозам?", одним из свадебных генералов на которой был небезызвестный Кевин Митник.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/02/08.html]
Местами забавно.
Серьезная уязвимость в антивирусах Symantec
dl // 10.02.05 19:28
Ошибка в обработке upx-файлов способна привести к тому, что сканер вместо удаления вируса выполнит его код.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/02/07.html]
Подвержены такие продукты как SystemWorks 2004 и Symantec Mail Security for Exchange. Опасность усугубляется тем, что ряд почтовых серверов может использовать уязвимые библиотеки, таким образом, атакованы могут быть не только машины конечных пользователей, но и критичные узлы, работающие под Microsoft Windows, Mac OS X, Linux, Solaris и AIX. Выпущен патч, распространяющийся через LiveUpdate . Последние продукты компании, такие как Norton Antivirus 2005, не подвержены данной уязвимости.
Большая порция исправлений от MS
dl // 09.02.05 01:17
На этот раз очередной выпуск включает 12 исправлений, 8 из которых критические.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/02/06.html]
В списке:
- удаленное исполнение кода из-за уязимости в Hyperlink Object Library;
- кумулятивное обновление для IE;
- удаленное исполнение кода из-за уязвимости в DHTML Editing ActiveX Control;
- удаленное исполнение кода и увеличение привилегий пользователя из-за уязвимостей в реализации OLE и COM;
- опять-таки удаленное исполнение кода из-за проблем с Server Message Block;
- и еще одно удаленное исполнение кода в License Logging Service;
- переполнение буфера при обработке PNG-файлов;
- и последнее удаленное исполнение кода из-за уязвимости в Windows Shell;
- возможное раскрытие информации из-за проблем с именованными каналами (named pipes);
- возможные XSS-атаки на Windows SharePoint Services и SharePoint Team Services;
- переполнение буфера в Microsoft Office XP;
- уязвимость в ASP.NET, связанная с проверкой пути.
Microsoft прикупит еще одну антивирусную компанию
dl // 08.02.05 20:04
MS продолжает наращивать свое присутствие в области безопасностного софта, объявив сегодня о намерении купить Sybari Software, специализирующуюся на выпуске антивирусов для почтовых серверов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/02/05.html]
Детали и сроки пока не названы.
И еще три ошибки в Firefox
dl // 08.02.05 18:42
Первая связана с сохранением файлов изображений - проверяются они по заголовку Content-type, а сохраняются с использованием расширения, заданного в адресе, что дает возможность скрестить изображение с исполняемым кодом, забросив его таким образом в пользовательскую систему.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/02/04.html]
Вторая - отсутствие проверки адреса при перетаскивании URL с "javascript:" на другую закладку способно привести к исполнению произвольного скрипта в контексте произвольного сайта.
И, наконец, ошибка в реализации ограничений для плагинов, реализующих обработчики адресов, может привести к срабатыванию ссылок на некоторые запрещенные адреса (как, например, "about:config"), что может быть использовано в целях принуждения пользователя изменить какие-то критические настройки.
Предложить свою новость
подробно о проекте
Анализ криптографических сетевых...
