Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

Подписаться Бесплатная «Серебряная» новостная рассылка Подписчиков 13.881 RSS
  Август 2012  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт рассылки: http://www.bugtraq.ru/review/
Открыта: Давно

Автор
Дмитрий Леонов

Статистика

13.881 подписчиков
-1 за неделю
  Все выпуски  

BugTraq: Обозрение #327, 30.08.2012


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: RSN
BuqTraq: БСК
Распределенные системы

#327, 30.08.2012

Oracle знала об уязвимости Java с апреля
dl // 30.08.12 07:41
Выяснилось, что обнародованная на этой неделе уязвимость, поставившая под угрозу практически все популярные ОС и браузеры с явой, была известна Oracle c апреля этого года, когда польский стартап Security Explorations сообщил ей о 31 уязвимости в продуктах компании. Поляки ожидали, что наиболее серьезные уязвимости будут закрыты в июньском обновлении, однако большая их часть была отложена на октябрь. Oracle регулярно информировала о своем прогрессе, по состоянию на 23 августа не хватало патчей для шести уязвимостей.

Неизвестно, входила ли обнародованная уязвимость в число этих шести, но 25 к шести за то, что паники этой недели и не случилось бы, не придерживайся Oracle так строго своего графика выхода патчей.
Источник: The Register

Утечка миллиона аккаунтов
dl // 28.08.12 18:16
Группа Team GhostShell обнародовала информацию о миллионе с лишним аккаунтов, собранных с сотни сайтов - банковских, государственных и т.п. Часть опубликованных данных содержит кредитную историю пользователей, фрагменты файлов CMS. Судя по их содержимому, большая часть информации была получена с помощью SQL injection.
Источник: The Register

Время (и способы) блокировать Java
dl // 28.08.12 02:32
Опубликована крайне неприятная уязвимость (а заодно и рабочий эксплоит, уже включенный в Metasploit) к Java JRE 1.7x, которая может быть использована практически на всех популярных современных ОС и во всех браузерах для выполнения произвольного кода с последующей подгрузкой мультиплатформенных троянов. Проверены по крайней мере Java 7 update 6 с Firefox под Ubuntu Linux 10.04, IE/Firefox/Chrome под XP, IE/Firefox под Vista/Windows 7, Safari под OS X 10.7.4.

С учетом того, что ближайшее плановое исправление случится аж через полтора месяца (и даже если будет выпущено внеочередное, неизвестно, сколько времени на него уйдет), лучшее, что сейчас можно сделать - полностью отключить Java в основном браузере, если это у вас до сих пор почему-то не сделано.

Проверить, работает ли плагин, можно тут. Если не устраивает полное удаление Java из системы, выборочно отключить плагин в текущих версиях популярных браузеров можно так:

  • FireFox: Add-ons (Ctrl-Shift-A) -> Plugins, Disable во всех строчках, упоминающих Java.
  • Internet Explorer: Tools (Alt-X) -> Manage add-ons, аналогичный запрет.
  • Chrome: открыть chrome://plugins/, те же действия.
  • Opera: к сожалению, только вместе со всеми плагинами: открыть opera:config#Extensions|Plugins, снять галочку.
  • Safari: Preferences (Ctrl-,) -> Security -> убрать Enable Java.

Кроме того, Chrome и последний FireFox могут быть настроены на полную блокировку всех плагинов с включением по клику, что подойдет для страниц, пользующихся доверием.

И в качестве финального штриха полезно зайти в Java Control Panel, закладку Advanced и убрать по возможности галочки в разделах Default Java for browsers и Java Plug-in.
Источник: InfoWorld

Dropbox запустил двухфакторную авторизацию
dl // 27.08.12 22:55
Чтобы воспользоваться ей, нужно включить эту возможность в настройках аккаунта и установить последнюю версию с форума (1.5.12). Не десктопных клиентах код авторизации придется вводить только один раз на каждой подключенной машине, на случай недоступности/потери телефона предусмотрен резервный 16-значный код.
Источник: The Register

The Pirate Bay запустила бесплатный VPN
dl // 27.08.12 21:58
Команда The Pirate Bay предложила пользователям сервис PrivitizeVPN, который доступе пока только пользователям Windows и предоставляется в обмен на установку показывающего рекламу Babylon search bar. Разумеется, уже нашлись способы выковыривания адвари, хотя, конечно, главный вопрос в случае подобных сервисов - это не реклама, а доверие.
Источник: Slashdot



Самые популярные темы форума за последнюю неделю:


[networking] Кто объяснит, почему тормозят браузеры? [206]
[site updates] [lj] судебнопарольное [64]
[site updates] Apple разгромила Samsung [52]
[site updates] [lj] эвернотное [34]
[site updates] Время (и способы) блокировать Java [31]

Самые обсуждаемые темы форума за последнюю неделю:


[networking] Кто объяснит, почему тормозят браузеры?
[site updates] Утечка миллиона аккаунтов
[site updates] [lj] судебнопарольное
[guestbook] Кодировка буквы в forum notifications неправильная
[site updates] [lj] шведыгоухомное


Ведущий рассылки:
Дмитрий Леонов, http://gplus.to/dmitry.leonov/

В избранное