Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2882 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2880 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2864 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2869 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2881 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2868 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Director File FFFFFF88 Record Processing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director tSAC Chunk Parsing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director rcsL Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director PAMI Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Player Director File FFFFFF45 Record Processing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director mmap Trusted Chunk Size Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director tSAC Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave TextXtra Allocator Integer Overflow Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director rcsL Chunk Pointer Offset Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave CSWV Chunk Memory Corruption Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave tSAC Chunk Invalid Seek Memory Corruption Remote Code Execution Vulnerability (деталі)
• Security update available for Shockwave Player (деталі)

19.06.2010

Виявлена можливість витоку інформації через mod_proxy_http в Apache.

Уразливі версії: Apache 2.2.

За певних умов відповідь сервера може бути відправлена іншому клієнту.

• httpd Timeout detection flaw (mod_proxy_http) (деталі)

29.08.2010

Додаткова інформація.

• Vulnerability in Apache (деталі)

Виявлені Directory Traversal уразливості у панелі адміністрування Adobe Coldfusion.

Уразливі версії: Adobe ColdFusion MX 7.0, ColdFusion MX 8.0.

Численні можливості зворотного шляху в каталогах.

• Unauthenticated File Retrieval (traversal) within ColdFusion administration console (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 9.0, Flash Player 10.1, AIR 2.0.

Численні пошкодження пам’яті.

• Adobe Flash Player LocalConnection Memory Corruption Remote Code Execution Vulnerability (деталі)
• Security update available for Adobe Flash Player (деталі)

Виявлені уразливості безпеки в Microsoft .Net і Silverlight.

Уразливі продукти: Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Пошкодження пам’яті, виконання коду.

• Critical Vulnerabilities in the Microsoft .NET Common Language Runtime and in Microsoft Silverlight Could Allow Remote Code Execution (2265906) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, міжсайтовий доступ.

• Microsoft Security Bulletin MS10-053 - Critical Cumulative Security Update for Internet Explorer (2183461) (деталі)

Виявлені численні уразливості безпеки в Apple Webkit і Safari.

Уразливі версії: Apple Safari 4.1, Safari 5.0.

Витоки інформації, міжсайтовий доступ, численні переповнення буфера й ушкодження пам’яті.

• Apple Webkit SVG ForeignObject Rendering Layout Remote Code Execution Vulnerability (деталі)
• Apple Webkit SVG First-Letter Style Remote Code Execution Vulnerability (деталі)
• About the security content of Safari 5.0.1 and Safari 4.1.1 (деталі)

Виявлена можливість виконання коду через ярлики в Microsoft Windows. В цей понеділок Microsoft випустила опис даної уразливості та патч для неї, причому патч позачерговий, тому що він вийшов до офіційного вівторка патчів, який відбудеться на наступному тижні. Microsoft проводить вівторки патчів в другий вівторок кожного місяця.

Уразливі продукти: Microsoft Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Виконання коду відбувається при відображенні іконки ярлика. Дана уразливість може використовуватися не тільки локально, але й віддалено. В тому числі атака може вібдуватися через Інтернет, коли користувач відвідає спеціально створений сайт в Internet Explorer або Windows Explorer.

• Microsoft Security Bulletin MS10-046 - Critical Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198) (деталі)

Виявлене переповнення буфера в python-cjson - пакеті для Python.

Уразливі версії: python-cjson 1.0.

Переповнення буфера при розборі скрипта Python.

• New python-cjson packages fix denial of service (деталі)

Виявлена можливість проведення MITM-атак при використанні технології ClickOnce від Microsoft.

Уразливі продукти: Microsoft Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Не заборонене встановлення непідписаних елементів.

• Microsoft ClickOnce MITM Vulnerabilities (деталі)