Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

Подписаться Бесплатная «Серебряная» новостная рассылка Подписчиков 13.832 RSS
  Январь 2005  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней 1 выпусков (1 раз в 2 месяца)


Сайт рассылки: http://www.bugtraq.ru/review/
Открыта: Давно

Автор
Дмитрий Леонов

Статистика

13.832 подписчиков
0 за неделю
  Все выпуски  

BugTraq: Обозрение #198, 13.01.2005


Информационный Канал Subscribe.Ru
BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
ЕжеПравда
Новости из мира распределенных систем



Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#198, 13.01.2005

Баг в GMail дает доступ к чужим сообщениям
dl // 13.01.05 01:44
Началось все с того, что участник группы unix-разработчиков The HBX Networks в процессе отладки своего почтового скрипта забыл поставить закрывающую угловую скобку в адресе ("From:<hbxnetworks@gmail.com"). Это привело к появлению фрагмента чужого письма в поле адресата после нажатия на ссылку "Show options". Похоже, что скрипт gmail, не встретив закрывающую скобку, продолжает идти по памяти до тех пор, пока не встретит подходящий символ, или пока не закончится буфер. Впрочем, вряд ли этот баг можно использовать для целенаправленной атаки.
Источник: BetaNews

Порция критических исправлений от MS
dl // 11.01.05 23:45
Включает исправление уязвимости в HTML Help, опасность которой изрядно возросла после широкой публикации эксплоита в конце прошлого года, исправление в коде, отвечающем за работу с файлами анимированных курсоров и иконок, а также исправление в службе индексации. Все уязвимости могут привести к удаленному исполнению кода, первые две отмечены как критические (для последней более вероятен сценарий с DoS-атакой).
Источник: MS Security Bulletins

McAfee автоматизировала Google hacking
dl // 11.01.05 00:25
SiteDigger 2.0 использует ряд типовых запросов к Google, который, как известно, индексирует все подряд, и зачастую не только ту информацию, которую вебмастеры готовы выложить на всеобщее обозрение. Достаточно вспомнить недавнюю эпидемию Santy, использовавшего Google для поиска уязвимых форумов на движке phpBB.

Вице-президент McAfee, Крис Просис (Chris Prosise), признал, что программа может быть использована и для атаки на сайты, но уточнил, что для работы программы потребуется наличие лицензии для работы с Google web services API и, соответственно, регистрация в гуглевской программе для разработчиков. Количество автоматизированных запросов при этом, кстати, ограничено тысячей в день.

Комментариев от Google пока не последовало.
Источник: cnet

Самое маленькое p2p-приложение
dl // 07.01.05 04:11
Уместилось в 15 (!) строчек кода на Питоне, обеспечивает функциональность сервера либо клиента, для передачи данных использует стандартные протоколы HTTP и XML-RPC (и, соответственно, кучу стандартных библиотек, но все равно результат впечатляет). Написано в качестве демонстрации простоты создания p2p-приложений и, соответственно, бессмысленности их запрета.

Update (спасибо nikon_nlg): гулять так гулять, альтернативный пример на Perl - MoleSter 0.0.4, раза в два побивший TinyP2P, не используя при этом ничего кроме чистых сокетов. Он же в более читабельном виде.
Источник: Slashdot, LiveJournal

MS запустила бета-тестирование AntiSpyware
dl // 06.01.05 19:46
Как и обещалось, менее чем через месяц после покупки Giant Microsoft объявила о доступности бета-версии Microsoft Windows AntiSpyware, представляющей собой по сути перепакованный вариант Giant AntiSpyware. Бета-версия распространяется бесплатно и не требует регистрации (хотя при скачивании и проверяет систему на легальность). Столь быстрый выпуск довольно любопытен - после аналогичной покупки румынской антивирусной компании прошло уже полтора года, но сроки выпуска антивируса от MS пока остаются очень предположительными.

Первое впечатление от программы очень неплохое. Сканирование идет немного с перестраховкой, в качестве возможных угроз могут, к примеру, опознаваться p2p-клиенты и ftp-cерверы. Впрочем, при этом дается исчерпывающее описание возможной угрозы, предлагаемые по умолчанию действия вполне разумны, так что люди, установившие подозрительный с точки зрения сканера софт, должны быть в состоянии адекватно отреагировать на сообщения программы, к тому же при последующих сканированиях реакцию на них можно отключить. Порадовала очень подробная настройка системного мониторинга, позволяющего следить за полусотней с лишним событий, разбитых на три группы (Internet, System, Applications) - от модификаций списка программ, стартующих вместе с системой, до изменений параметров tcp/ip.
Источник: Microsoft



Самые популярные темы на форуме за последнюю неделю:


[theory] Математики стоят на пороге уничтожения криптографии [2981]
[hacking] Головоломка для хакера. [514]
[hacking] Дыра на сайте интерпола [339]
[beginners] Глупые вопросы о почте [249]
[site updates] Факторизация (factoring) и выполнимость (satisfability) [181]

Самые обсуждаемые темы на форуме за последнюю неделю:


[beginners] FreeBSD включение портов 25 и 110
[miscellaneous] АХТУНГ!!!
[miscellaneous] 2 Killer{R}: С днм рождения! Здоровья Тебе и денег, дабы была возможность купить остальное :-)
[miscellaneous] Про елочную гирлянду.
[humor] Наверняка многим покажется тупо, ну а я смеялся.


Ведущий рассылки - Дмитрий Леонов
http://www.bugtraq.ru

http://subscribe.ru/
http://subscribe.ru/feedback/		 Подписан адрес:
Код этой рассылки: inet.bugtraq		 Отписаться
В избранное