Виявлена можливість ушкодження пам’яті в Mozilla Firefox, а також в Thunderbird і SeaMonkey. Уразливість дозволяє віддаленому користувачу виконати DoS атаку.
Уразливі продукти: Mozilla Firefox 2.0, Thunderbird 2.0, SeaMonkey 1.1.
Ушкодження пам’яті в операції зборки сміття в JavaScript. В Firefox 2.0.0.14, Thunderbird 2.0.0.14 і SeaMonkey 1.1.10 дана уразливість вже виправлена.
ІТ-персонал більшості компаній як і раніше має достатні права в корпоративних комп’ютерних системах для перегляду практично всієї конфіденційної інформації, включаючи дані про співробітників і електронну пошту. Про це в тематичній доповіді заявила компанія ІТ-безпеки Cyber-Arc.
За даними опитування 200 ІТ-професіоналів, більше половини з них украй халатно відносяться до безпеки, зберігаючи адміністраторські паролі на листках папера, приклеєних до стіни чи комп’ютеру.
Кожна п’ята компанія рідко змінює паролі адміністратора, а в 7% компаній їх не змінюють зовсім. 8% компаній використовують у системах паролі, встановлені виробником за замовчуванням, тобто, відомі кожному, хто прочитає інструкцію до пристрою чи програмному продукту.
Один адміністратор сказав, що через тяганину з персональними паролями в його організації користувачам видали один пароль на всіх.
По матеріалам http://www.securitylab.ru.
11.04.2008
Виявлена можливість пошкодження пам’яті в Microsoft Internet Explorer.
Уразливі продукти: Microsoft Internet Explorer під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.
Пошкодження пам’яті при роботі з потоковими даними.
17.04.2008
Додаткова інформація.
26 березня стартував конкурс CanSecWest PWN to OWN. Учасникам пропонувалося на вибір атакувати і прочитати вміст заданого файлу на трьох ноутбуках - VAIO VGN-TZ37CN з Ubuntu 7.10; Fujitsu U810 з Vista Ultimate SP1; MacBook Air з OSX 10.5.2.
Усі системи були цілком пропатчені й запущені в стандартній конфігурації, учасники взаємодіяли з ними через пряме підключення по кроссоверу, незалежно від інших. Відповідно до умов конкурсу, переможець унесе із собою повалений ноутбук і приз у 20 тисяч доларів при удачі в перший день змагання, 10 тисяч при успішній атаці в другий, і 5 тисяч - у третій.
У перший день системи були відкриті тільки для “чесних” віддалених атак, що виключають дії користувача машини, що атакується. Цей день не приніс успіху нікому.
В другий день були дозволені також атаки на будь-які прикладні програми, що йдуть у стандартному постачанні, і дії з ними, включаючи читання пошти, відкриття отриманих лінок тощо. Цей день приніс перемогу над MacBook Air - Чарлі Міллер, відомий одним з перших взломів iPhone, використав уразливість у Safari для захоплення керування системою.
Vista і Ubuntu перейшли в третій тур. Тут в гру вступили деякі популярні сторонні додатки. В останній день конкурсу був взломаний ноутбук з Vista Ultimate - після того як на нього була встановлена остання версія Adobe Flash, у якій виявилася свіжа і ще не обнародувана уразливість.
По матеріалам http://bugtraq.ru.
Виявлене переповнення буфера в Python.
Уразливі версії: Python 2.5.
Цілочисленне переповнення, що приводить до переповнення буфера в PyString_FromStringAndSize().
Число комп’ютерів у складі виявленої фахівцями Damballa Solutions зомбі-мережі під назвою Kraken досягло 400 тисяч. При цьому існування бот-мережі підтвердили в SANS Internet Storm Center. У повідомленні Центра відзначено, що дослідникам удалося зафіксувати мережеві пакети, передані командними серверами ботнета, що базуються в США, Франції і Росії.
Розміри виявленої зомбі-мережі помітно більше всесвітньо відомої Stormbot, що складалась в листопаді минулого року з 230000 комп’ютерів. Відповідно до висновків експертів, у зомбі-мережу Kraken уже включені машини до 50 компаній зі списку Fortune 500.
Ботнет, як упевнені в Damballa, формується вірусом, що поширюється за допомогою прихованих графічних файлів. Відкриття цих файлів і заражає комп’ютер користувача: у момент відкриття вже виконується установка вірусу.
Авторам вірусу дуже добре відомі механізми роботи антивірусних сканерів, відзначає дослідник з Dambala Пол Роял. За даними експертів, 80% антивірусного програмного забезпечення просто не виявляють вірус. Крім цього, він періодично задіює можливість самообновлення. Це значить, що бот-мережа, можливо, буде використовуватися не тільки для розсилання спама, думають експерти з Damballa.
Поки зомбі-мережею користуються в основному спамери, що пропонують медикаменти, послуги казино і кредитні схеми. Повідомляється, що деякі боти мережі Kraken у добу можуть розіслати до 500 тисяч листів, що містять спам. Як пророкують фахівці, у квітні 2008 року зомбі-мережа Kraken збільшиться ще на 50%, і кількість заражених комп’ютерів досягне 600 тисяч.
По матеріалам http://eplus.com.ua.
Кількість фішерських розсилок, що заманюють користувачів на підставні сайти для введення банківських реквізитів, росте зі швидкістю 56% на місяць, стверджувала в минулому році “Антифішерськая робоча група” (Anti-Phishing Working Group).
По підрахункам групи, жертвами фішерів стає кожен десятий одержувач підроблених листів. А Gartner Group називає приблизне загальне число жертв - 1,78 млн. американців - і приводить приблизну суму грошей, викрадену за допомогою крадених реквізитів - $2,4 млрд.
По матеріалам http://www.securitylab.ru.
Опубліковано невелике оновлення безпеки, адресоване для виправлення можливих уразливостей в Invision Power Board. Дірка може проявитися тільки при включених додаткових BB-кодах на форумі і тільки при визначеному їхньому використанні. При цих обставинах можлива вставка шкідливого html коду. Додатково у виправленні усунуті проблеми безпеки при використанні flash і помилка з автовизначенням переходу на літній/зимовий час.
Зокрема, в даному секюріті патчі для IPB 2.3.x виправлена знайдена мною XSS уразливість в IPB, про яку я вже писав.
Із сьогоднішнього дня клієнти британських банків, що не піклуються про безпеку свого комп’ютера, не зможуть висунути претензії нікому, якщо з їхніх рахунків раптово зникнуть гроші.
У новій версії Банківського кодексу, прийнятого британською банківською асоціацією (British Bankers’ Association) у понеділок, мається стаття 12.9, у якій говориться: “Стежте за безпекою комп’ютера. Використовуйте сучасне антивірусне, антишпигунське ПЗ, а також персональний брандмауер”. Крім того, у кодексі сказано, що банки не несуть відповідальності за збитки, у випадку якщо їх несуть клієнти. Якщо на комп’ютері немає антивірусу, антишпигуна і брандмауера. Також користувачам рекомендується поводитися “обачно”.
Крім того, сьогодні стало відомо про втрату британським банком HSBC диска з інформацією про 370 тисячі клієнтів. Адрес і реквізитів, як пише BBC, на носії не було, однак, по-перше, це вже ніхто не доведе, а по-друге, все рівно неприємно.
По матеріалам http://expert.com.ua.
Виявлені численні уразливості безпеки в Apache-SSL.
Уразливий продукт: Apache-SSL.
Численні уразливості при ініціалізації змінних оточення з даних клієнтського сертифіката.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.