Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

  Все выпуски  

BugTraq: Обозрение #329, 10.10.2012


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: RSN
BuqTraq: БСК
Распределенные системы

#329, 10.10.2012

Октябрьские обновления от MS
dl // 10.10.12 00:00
Всего 7, одно критичное, шесть важных. Критичное исправляет удаленное исполнение кода в Word, остальные - удаленное исполнение кода в Works (кто-нибудь этим вообще пользуется??), FAST Search Server 2010, эскалацию привилегий в SQL Server, ядре, компонентах HTML Sanitization, DoS на Kerberos.
Источник: Microsoft Security Bulletin Summary


XSS в школьном журнале
dl // 01.10.12 20:06
Потенциальный подарок ученикам шести сотен школ. XSS в форме для логина на первый взгляд не выглядит особо перспективным; с другой стороны, обработчик формы реагирует и на GET-запрос, так что в сочетании с фишингом шансы есть.
Источник: Security Effect


Adobe разгребает последствия взлома
dl // 28.09.12 14:14
После обнаружения двух вредоносных утилит, подписанных сертификатом Adobe, компания провела расследование и выяснила, что воздействию подвергся один из серверов, занимающихся сборкой ПО. Сервер не имел прямого доступа к приватному ключу, но мог делать запросы о формировании цифровой подписи.

Кроме того, на сервере использовался отдельный аккаунт для получения доступа к коду одного продукта, так что у взломщиков была потенциальная возможность внести в него изменения. Имя продукта не называется, лишь уточняется, что это не были Flash Player, Adobe Reader, Shockwave Player или Adobe AIR. Впрочем, по словам Adobe, модификаций или утечек кода замечено не было.

4 октября планируется отзыв скомпрометированного сертификата. Этот отзыв повлияет практически на все Windows-продукты Adobe, выпущенные после 10 июля, а также три AIR-приложения, доступные для Windows и Macintosh. Для всех потенциально затронутых приложений уже выпущены обновления.
Источник: Adobe


Бэкдор в phpMyAdmin
dl // 26.09.12 03:01
Разработчики популярного веб-интерфейса предупреждают о том, что одно из зеркал SourceForge раздавало вариант phpMyAdmin с модифицированным файлом server_sync.php, допускающим удаленное выполнение произвольного php-кода. Затронут был только phpMyAdmin-3.5.2.2-all-languages.zip.
Источник: phpMyAdmin


Сброс Samsung Galaxy при просмотре веб-страниц
dl // 25.09.12 20:02
Фантастический подарок получили пользователи Samsung Galaxy SII (насчет третьей и Note пока противоречивые сведения). Попытка открыть адрес вида tel:*2767*3855%23 (в том числе простое открытие страницы с iframe, в url которого есть эти символы) приводит к честному отрабатыванию USSD-кода *2767*3855# с немедленным сбросом всех настроек и потерей пользовательских данных.

Понятно, что эта схема заставляет уязвимый аппарат выполнить любую USSD-команду, полный сброс - лишь наиболее яркая демонстрация. Не исключено, что подобная проблема присутствует и в некоторых смартфонах HTC.

Поневоле заставляет вспомнить золотые времена, когда некоторые модемы честно выполняли AT-команды, встретившиеся в передаваемых текстовых файлов.
Источник: Pocket-lint




Самые популярные темы форума за последнюю неделю:


[miscellaneous] Эпидемия отравлений метиловым спиртом я херею от нашей фармакопеи, господа! [246]
[dnet] [RC5] Встречаем - RC опенЦЛ версия клиента [36]
[site updates] [lj] винчестерное [32]
[web building] ПХПшный курл со сжатыми страницами дружит сам или нужно разжимать полученное? [5]
[site updates] Октябрьские обновления от MS [5]

Самые обсуждаемые темы форума за последнюю неделю:


[miscellaneous] Эпидемия отравлений метиловым спиртом я херею от нашей фармакопеи, господа!
[dnet] [RC5] Встречаем - RC опенЦЛ версия клиента
[site updates] [lj] винчестерное
[web building] ПХПшный курл со сжатыми страницами дружит сам или нужно разжимать полученное?
[site updates] Октябрьские обновления от MS



Ведущий рассылки:
Дмитрий Леонов, http://gplus.to/dmitry.leonov/


В избранное