Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

  Все выпуски  

BugTraq: Обозрение #230, 25.09.2006


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
ЕжеПравда
Новости из мира распределенных систем



Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#230, 25.09.2006

Число уязвимостей в броузерах растет
dl // 25.09.06 22:39
Согласно последнему отчету Symantec, первое полугодие 2006 было отмечено существенным ростом уязвимостей во всех популярных броузерах. Лидирует Firefox - 47 против 17 за предыдущие полгода, следом идет IE - 38 против 25, далее Safari - 12 против 6 и Opera - 7 против 9. Улучшилось среднее время реакции на обнаружение уязвимостей. Лидирует тут Firefox - 1 день, следом идет Opera (2 дня против 18 в прошлом году), Safari (5 дней). Антирекорд по-прежнему у IE - 9 дней против прошлогодних 25. Он же по-прежнему остается самой любимой целью для атак.
Источник: Ars Technica


Еще один независимый патч IE
dl // 23.09.06 11:54
Группа ZERT (Zeroday Emergency Response Team) создала патч для недавней уязвимости IE, которым пользователи могут воспользоваться в ожидании выхода официального патча от MS. Microsoft в своем заявлении не рекомендовала пользоваться сторонними патчами, да и сама ZERT признала, что у сторонних патчей есть недостаток в виде отсутствия всестороннего тестирования. На этот случай к патчу прилагается исходный код.

Лично я не вижу особого смысла в применении этого патча в условиях, когда известно надежное штатное средство блокировки уязвимого компонента. Побочный эффект в виде отсутствия поддержки VML представляется не слишком существенным - можете ли вы вспомнить, на каких сайтах его хоть когда-нибудь встречали?
Источник: ZDNet


Уязвимость IE затронула и Outlook
dl // 22.09.06 13:34
Недавняя уязвимость IE, связанная с обработкой изображений, записанных в VML (Vector Markup Language) затрагивает и пользователей Outlook 2003. Изначально считалось, что Outlook избежал угрозы из-за его автоматической блокировки скриптов, но исследователям из Sunbelt Software удалось заставить удаленную машину выполнить код и без использования скриптов. Это резко повышает опасность данной уязвимости - если в случае IE пользователя еще надо было заманить на страницу с вредоносным кодом, то тут достаточно отправить ему письмо.

В качестве временного решения предлагается блокировать уязвимый компонент:
regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll
Источник: InfoWorld


В Microsoft ушел еще один ветеран McAfee
dl // 20.09.06 09:47
Ранее работавший в McAfee Джимми Куо (Jimmy Kuo) займет в Microsoft место старшего иследователя по безопасности в Security Research & Response team. В прошлом месяце в Microsoft из McAfee перешел Винсент Гулотто (Vincent Gullotto), бывший глава Antivirus and Vulnerability Emergency Response Team. Похоже, в MS довольно серьезно отнеслись к крикам типа "да эти ребята понятия не имеют, что такое поддержка антивируса" и выбрали один из самых коротких путей решения проблемы, приступив к найму людей, чье имя имеет существенный вес в отрасли.
Источник: ZDNet


Russian Password Crackers - теперь и на русском
dl // 15.09.06 17:44
Павел Семьянов объявил о завершении тестирования русской версии своего популярного сайта Russian Password Crackers. На сайте представлена информация практически обо всех популярных взломщиках паролей к различным системам и программам, с тестами скорости и отзывами. Приветствуются пополнения - авторы новых программ имеют возможность зарегистрироваться и выложить информацию о своем продукте.
Источник: Russian Password Crackers


Продолжается прием статей на конкурс BugTraq'2006 [ http://bugtraq.ru/library/contest/ ] Третья пятерка из рейтинга статей: [ http://bugtraq.ru/library/rating/ ] Теория и практика аудита и восстановления паролей Windows NT/2000/XP/2003 [8.87] [ http://bugtraq.ru/library/security/passwords.html ] 26.02.03 01:49 Как был взломан "Релком-Украина" [8.83] [ http://bugtraq.ru/library/www/relcom.html ] 19.09.98 12:00 Техника анализа программных защит на примере Ulead COOL 3D v3.5 [8.82] [ http://www.bugtraq.ru/library/programming/uleadtrial.html ] 12.04.03 07:57 Кевин Митник: история жизни легендарного хакера [8.8] [ http://www.bugtraq.ru/library/underground/mitnik.html ] 17.09.03 00:26 Поиск SQL-инъекций на примере MyBB 1.00 RC4 [8.77] [ http://bugtraq.ru/library/www/mybb.html ] 15.05.05 19:24

Продолжается прием статей на конкурс BugTraq'2006

Самые популярные темы на форуме за последнюю неделю:


[hacking]
атака через bluetooth со смартофона [789]
[networking]
А чем бы НАТ поднять? [269]
[software]
Outlook 2003 connector for lotus domino [227]
[miscellaneous]
ТВ+DVD,голяк? [151]
[programming]
Возможно ли такое в windows? Маршрутизация ПРОГРАММ [151]

Самые обсуждаемые темы на форуме за последнюю неделю:


[sysadmin]
Не могу убить ключ в реестре!
[networking]
А чем бы НАТ поднять?
[beginners]
глупый вопрос: выполнение команд на удаленном компе
[sysadmin]
Как заставить IIS (виндовый вебсервер) возвращать chunked ответ
[beginners]
[cmd.exe] Перенаправление стандартного вывода в переменную



Ведущий рассылки - Дмитрий Леонов
http://www.bugtraq.ru


В избранное