22.03.2012
Виявлені уразливості безпеки в Adobe Flash Player.
Уразливі версії: Adobe Flash Player 11.1.
Декілька пошкоджень пам’яті.
19.04.2012
Додаткова інформація.
У березні, 28.03.2012, через півтора місяці після виходу Google Chrome 17, вийшов Google Chrome 18.
В браузері зроблено ряд нововведень. А також виправлено 9 уразливостей, з яких 3 позначені як небезпечні, 5 - помірні і 1 - незначні. Деякі з уразливостей були виявлені розробниками браузера в результаті ініціювання додаткового аудиту коду, після виявлення в Chrome декількох критичних проблем, продемонстрованих на змаганні Pwnium.
Три з виправлених дев’яти уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.
Виявлена помилка форматного рядка в Perl модулі DBD::Pg.
Уразливі версії: DBD::Pg 2.19.
Помилка форматного рядка при розборі відповіді сервера.
Виявлена помилка форматного рядка в Perl модулі YAML::LibYAML.
Уразливі версії: YAML::LibYAML 0.33.
Декілька уразливостей форматного рядка (Format String Attack).
За повідомленням www.xakep.ru, drive-by завантаження на популярних сайтах: статистика.
Компанія Barracuda Labs протягом лютого провела автоматичне сканування 25000 самих популярних сайтів Інтернету на предмет drive-by експлоітів.
Результати сканування можна назвати неоднозначними. З одного боку, протягом місяця шкідливого ПЗ не було ні на одному з 1000 самих популярних сайтів. З іншого боку, ситуацію ніяк не назвеш райдужною: за місяць експлоіти типу drive-by виявилися на 58 доменах. Фактично, кожний календарний день хоча б один сайт був заражений.
За повідомленням www.itsec.ru, експерти говорять про небезпеку “соціо-ботів”.
Згідно результатам останнього дослідження, проведеного фахівцями з канадського Університету Британської Колумбії у Ванкуверу, так звані “соціальні боти” - програми, створені для імітації поводження людей у соціальних мережах, здатні ефективно викрадати персональні дані користувачів. Так, в одній лише Facebook канадські дослідники за допомогою “соціо-ботів” одержали майже 250 гігабайт інформації про користувачів цієї мережі.
Двомісячне дослідження проводилося з метою визначити, наскільки уразливі соціальні мережі та їхні користувачі перед обличчям масштабних операцій, пов’язаних з викраденням особистих даних. Як можна зрозуміти з отриманих 250 гігабайт даних, дуже уразливі.
За повідомленням www.xakep.ru, двоскладні паролі, посилені за допомогою CAPTCHA.
Приблизно рік тому група вчених - Костянтин Кладко, Сергій Флах і Тетяна Лаптєва - з Інституту фізики складних систем суспільства Макса Планка в Дрездені опублікували наукову працю, в якій запропонували інноваційне рішення “проблеми простих паролів”. Ідея полягає в наступному. Замість того, щоб змушувати користувача запам’ятовувати великий набір символів, довгий пароль розбивається на дві частини.
При цьому від користувача потрібно запам’ятати тільки першу частину, а друга частина генерується автоматично і кодується у виді CAPTCHA, причому досить хитрої - заснованої на фізичних даних від двовимірної динамічної системи, близької до фазового переходу.
Виявленні численні уразливості безпеки в Oracle Java.
Уразливі продукти: Oracle JDK 7, JRE 7.
19 різних уразливостіей, у тому числі з можливістю доступу до файлів і виконання коду.
Виявлена Cross-Site Scripting уразливість в PHP.
Уразливі версії: PHP 5.3, PHP 5.4.
Міжсайтовий скриптінг через повідомлення про помилки при включеній директиві display_errors.
Виявлена можливість проведення DoS атаки проти PHP.
Уразливі версії: PHP 5.3, PHP 5.4.
Вичерпання ресурсів у функціях роботи з регулярними виразами POSIX.
За повідомленням www.xakep.ru, витік до 10 мільйонів карт VISA і MasterCard.
Компанії VISA і MasterCard попередили банки про інцидент в одному з американських процесінгових центрів, у результаті чого можливий витік до 10 мільйонів пластикових карт. Банкам вислані номери скомпрометованих карт для аналізу транзакций по них, що дозволить виявити джерело атаки і, можливо, особистості зловмисників. По цих картах будуть початі додаткові антифродові дії та, імовірно, буде здійснена повторна емісія карт. Першим інформацію про витік опублікував Брайан Кребс у п’ятницю, після чого інформацію офіційно підтвердили VISA і MasterCard.
За повідомленням www.itsec.ru, опубліковано прайс-лист за експлоіти для 0-day уразливостей.
Не секрет, що в будь-якому бізнесі найбільш привабливим замовником є державні структури. Не виключенням виявився і ринок експлоітів для zero-day уразливостей. За даними Forbes, урядові агентства готові заплатити хакерам від $5000 до $250000 за докладну інформацію про методи атак популярного програмного забезпечення.
Днями журналіст Forbes, у продовження недавньої історії про Vupen, опублікував орієнтовну вартість експлоітів для популярних програмних продуктів. Компанія Vupen, що перемогла на останньому конкурсі Pwn2Own, займайється створенням 0-day експлотів та їх продажем розвідувальним агентствам і державним спецслужбам.
За повідомленням www.xakep.ru, McAfee щодня реєструє 6500 нових заражених веб сайтів.
Компанія McAfee опублікувала підсумковий звіт за четвертий квартал 2011 року зі статистикою по шкідливому ПЗ, кількості заражених сайтів і аналізом тенденцій веб загроз.
Серед головних підсумків кварталу. Загальна кількість шкідливого ПЗ, виявленого системами McAfee за всю історію, перевищила 75 мільйонів семплів. При цьому кількість нових шкідливих програм для десктопних систем останнім часом знижується. Але є тенденція збільшення кількості шкіливого ПЗ під мобільні платформи.
Виявлена DoS уразливість (вичерпання ресурсів) у модулі Apache FCGID.
Уразливі версії: Apache mod_fcgid 2.3.
Не працює обмеження FcgidMaxProcessesPerClass.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.