Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Russian Security Newsline

  Все выпуски  

BugTraq: Russian Security Newsline 02.06.2008


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
ЕжеПравда
Новости из мира распределенных систем



Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 02.06.2008

Серьезная уязвимость в Flash Player
dl // 28.05.08 10:46
Flash Player вплоть до последней версии (9.0.124.0) содержит уязвимость, допускающую удаленное исполнение кода на клиентской машине - просто при просмотре соответствующей веб-страницы. Исправление отсутствует, в то время как по крайней мере 20 тысяч сайтов уже используют эту уязвимость.
Источник: The Register
обсудить
Черви ВКонтакте
dl // 17.05.08 15:38
Служба вирусного мониторинга компании "Доктор Веб" предупреждает о распространении по социальной сети "ВКонтакте.Ру" нового червя.

Червь рассылает с инфицированных машин другим пользователям сети ссылку на jpeg-файл, вместо которого реально отдается исполняемый файл deti.scr. При запуске он сохраняет на локальном диске картинку, за которой пришел пользователь, и вызывает штатный просмотрщик, в итоге не вызывая у пользователя никаких подозрений. Тем временем червь устанавливает себя в качестве системного сервиса, ищет в куках пароль к ВКонтакте и в случае успеха рассылает ссылку на себя по всем контактам пользователя. Кроме того, 25 числа каждого месяца выводится пугающее сообщение, а пока пользователь его читает, начинается очистка диска C: от всех файлов.

Распространение червя через социальную сеть уже остановлено, но масса зараженных систем ждет 25-го числа, так что пользователям рекомендуется срочно провериться на предмет заражения.
Источник: Доктор Веб
обсудить


Предсказуемый ГСЧ и небезопасные ключи в Debian/Ubuntu
sattva // 14.05.08 09:40
Два года назад разработчики Debian "исправили" "ошибку" (как они считали) в пакете OpenSSL. Перечислять все сферы применения этого пакета, думаю, не стоит, ибо он используется повсеместно и, прежде всего, для выработки ключевого материала SSL, SSH и OpenVPN.

"Ошибка", которая была "исправлена", заключалась в использовании неинициализированной памяти. В большинстве случаев такое исправление было бы разумным, если бы не затрагивало пул и генератор случайных чисел (ГСЧ) OpenSSL. В итоге генератор был лишн возможности добавлять новую энтропию в пул, что делает крайне предсказуемыми все получаемые из него данные и, как следствие, генерируемые шифроключи. (Такой проблемы бы не произошло, поступи разработчики Debian, как дОлжно: вместо патченья пакета в собственном депозитарии, им следовало передать патч апстриму разработчикам OpenSSL, которые от такой вольности просто попадали бы со стульев от смеха.)

Все пользователи Debian и Ubuntu должны исходить из того, что все шифровальные ключи для SSL, SSH и OpenVPN, сгенерированные ими в последние два года, скомпрометированы! Действуйте исходя из этого.
Источник: Debian Security Letter
обсудить


Microsoft рекомендовала не пользоваться Safari на Windows-системах
dl // 02.06.08 01:46
Microsoft выпустила бюллетень, в котором рекомендовала "ограничить использование Safari в качестве web-браузера" до исправления не так давно обнаруженной уязвимости, позволяющей, к примеру, замусорить десктоп пользователя произвольными исполняемыми файлами, маскирующимися под добропорядочные иконки. Apple довольно спокойно отнеслась к сообщениям об этой уязвимости, получившей название "ковровой бомбардировки", пообещав исправить ее в готовящейся к выходу версии 3.2, где-нибудь к сентябрю. До тех же пор пользователям "самого безопасного браузера" лучше убрать его с глаз подальше.
Источник: Microsoft Security Advisory
обсудить


Также в выпуске:
Apple исправила 70 ошибок в Леопарде и испортила жизнь пользователям Adobe // 31.05.08 23:39
Google открыла доступ к популярным ajax-библиотекам // 29.05.08 00:17

Начался прием статей на конкурс BugTraq'08

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
История с WMF [9] 02.02.06 00:00
Space dot com [8.94] 16.04.06 05:26
Теория и практика аудита и восстановления паролей Windows NT/2000/XP/2003 [8.93] 26.02.03 01:49
Как был взломан "Релком-Украина" [8.88] 19.09.98 12:00

Самые популярные темы форума за последнюю неделю:


[sysadmin]
Не могу не поделиться радостью! :) ВЕСЬ офис перевожу на BSD! [1908]
[dnet]
Сняли очки [523]
[humor]
В продолжении темы про 0xFF дней [276]
[gadgets]
Народ, посоветуйте коммуникатор. С указанием плюсов и минусов. [259]
[humor]
"Жаль, что у многих последнее время кладезем аргументов в спорах является гугл, а не собственная голова". [240]

Самые обсуждаемые темы форума за последнюю неделю:


[miscellaneous]
mov4, что это?
[humor]
"Жаль, что у многих последнее время кладезем аргументов в спорах является гугл, а не собственная голова".
[miscellaneous]
Heller CДР
[programming]
Как красиво получать таблицу от COM-сервера?
[dnet]
С 22 мая не обновляется статистика на Bugtraq.Ru



Ведущий рассылки:
Дмитрий Леонов, http://www.bugtraq.ru/


В избранное