В минулому році були виявлені численні DoS уразливості в PHP.
Уразливі версії: PHP 5.2.
Відмова в обслуговуванні в функціях stream_wrapper_register(), dgettext(), dcgettext(), dngettext(), gettext(), ngettext().
Виявлена можливість обходу захисту safe_mode в PHP.
Уразливі версії: PHP 5.2.
Можна обійти захист через використання error_log, що задається через ini_set.
Нещодавно була виявлена можливість витоку вмісту зображень в Mozilla Firefox.
Уразливі версії: Mozilla Firefox 2.0.
Використовуючи getImageData() у сполученні з перенаправленнями можливо одержати міжсайтовий доступ до зображень. Уразливість виправлена в Firefox 2.0.0.18, який нещодавно вийшов.
В минулому році була виявлена можливість витоку інформації в Mozilla Firefox (information leakage). Про останні уразливості в Firefox я писав нещодавно.
Уразливі версії: Mozilla Firefox 2.0.
За допомогою уразливості можливо одержати значення будь-яких внутрішніх змінних.
В цьому місяці Microsoft випустила всього два патчі. Що значно менше ніж у жовтні.
У листопадовому “вівторку патчів” Microsoft випустила два патчі. Єдина критична уразливість міститься в компоненті XML Core Services, вона можлива до експлуатації в системах Windows 2000, XP і Vista, а також Server 2003 і 2008. Експлуатація уразливості відбувається при відвідуванні шкідливої веб-сторінки. При наявності Core Services 3.0 нападник одержує право віддалено запускати на виконання довільний код, якщо ж установлена версія 4.0 чи 6.0, то нападник здатний одержати доступ до інформації користувача.
Другий бюлетень усуває уразливість у системі Microsoft Server Message Block (SMB), її експлуатація можлива в Windows 2000, XP, Vista, Server 2003 і Server 2008. При успішному використанні уразливості нападник одержує повний контроль над системою.
По матеріалам http://news.techlabs.by.
В останні місяці були виявлені численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey. Які нещодавно були виправлені в нових версіях додатів від Mozilla. Зазначу, що жодна з виявлених і оприлюднених мною в жовтні та листопаді уразливостей в Firefox, зокрема в Дні багів в браузерах 2, виправлена не була.
Уразливі продукти: Mozilla Firefox 2.0, Thunderbird 2.0, Seamonkey 1.1, Firefox 3.0.
Витік інформації, використання звільненої пам’яті, ушкодження пам’яті, підвищення привілеїв, переповнення буфера, міжсайтовий скриптінг, обхід захисту.
Лабораторія PandaLabs звернула особливу увагу на жовтневий бюлетень Microsoft MS08-067, попередивши, що для нього вже з’явилися експлоіти, здатні розсекретити будь-яку інформацію користувача Microsoft Windows 2000, Windows XP і Windows Server 2003.
На інфікованих комп’ютерах відбувається крадіжка паролів із браузера, паролів MSN Messenger і Outlook Express, системних імен юзерів, інформації про встановлені патчі та браузер. Останні два пункти говорять про те, що користувач у майбутньому може піддатися новим цілеспрямованим атакам, тому що хакер одержить дані по найбільш уразлиі місця системи. “На додачу до розсилання поштою і за допомогою інфікованих файлів, дані шкідливі коди поширюються прямо через Інтернет, навіть з легальних веб-сторінок. Тому користувачі можуть і не підозрювати, що чимось заразилися”, - говорить Луїс Корронс, технічний директор PandaLabs. Зібрана інформація кодується за допомогою AES і пересилається на віддалений сервер.
По матеріалам http://news.techlabs.by.
Нещодавно була оприлюднена уразливість підміни адреси в Google Chrome (URL spoofing).
Уразливі версії: Google Chrome 0.2.
Дана уразливість була виправлена в останній версії браузера Chrome 0.3.154.9.
До вже згаданої торік уразливості, що дозволяла виконання довільних команд в Mozilla Firefox, додам додаткову інформацію. Про можливість виконання коду через обробники URL в Mozilla Firefox і Thunderbird.
Уразливі продукти: Thunderbird 1.5, Firefox 2.0, Thunderbird 2.0, iceape 1.0, xulrunner 1.8, iceape 1.1.
У випадку, якщо для обробки URL типу mailto:, news:, nntp: та інших використовується Thunderbird, можливе впровадження шел-символів.
І хоча дані уразливості в Firefox та інших додатках Мозіли були виправлені в минулому році, але нещодавно були виявлені нові уразливості в Mozilla Firefox, Thunderbird, Seamonkey (які були виправлені в вересні). Серед них була нова подібна уразливість, що дозволяла виконання коду при запуску через обробник URI (при атаці з іншого браузеру на Firefox).
30.07.2008
Виявлена можливість підвищення привілеїв через MySQL.
Уразливі версії: MySQL 4.1, MySQL 5.0, MySQL 5.1, MySQL 6.0.
Можна вказати файл іншої бази даних у CREATE TABLE.
11.11.2008
Додаткова інформація.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.