 Компания Microsoft во вторник пропатчила 25 уязвимостей в Windows, Exchange и Office, при этом среди данных брешей было 9 "критических" – то есть, имеющих высший рейтинг опасности. Эксперты рекомендуют в первую очередь обратить внимание на два из 11 обновлений, закрывающих серьезные баги в Windows Media Player и одном из распространенных форматов видеофайлов. Сделать это необходимо для того, чтобы предотвратить возможность "атак при сопутствующей загрузке", быстро набирающих популярность в сети Интернет. К примеру, Эндрю Стормс из nCircle Network Security важнейшими считает бюллетени MS10-026 и MS10-027, касающиеся DirectShow и Windows Media Player. По его словам, они закрывают возможность проведения классических атак "movies-to-malware", когда жертва смотрит видео и компрометирует свой компьютер. Бюллетень MS10-026 актуален для Windows 2000, XP, Vista и Server 2008. По информации Microsoft, он устраняет брешь, позволяющую взломать ПК с помощью особым образом составленного avi-файла, содержащего звуковую дорожку в формате MPEG Layer-3. MS10-027, в свою очередь, убирает критический баг в Windows Media Player, функционирующем под управлением Windows 2000 и XP. Третье связанное с мультимедиа критически важное обновление затрагивает Windows Media Services в Windows 2000. Впрочем, по умолчанию данная служба отключена. Среди прочих обновлений – патчи для Microsoft's Publisher и Visio, службы цифровых подписей Windows, сервиса SMTP, связанного с работой почтовой программы Exchange, а также для компонента ISATAP в большинстве версий Windows. Есть в числе сегодняшних патчей и заплатки для двух других широко известных брешей, о которых компания Microsoft предупреждала в ноябре 2009 и марте 2010 года. Ноябрьское уведомление было связано с багом в протоколе SMB, который в тот момент был единственной подтвержденной Microsoft непропатченной уязвимостью для Windows 7. Мартовское предупреждение содержало совет не нажимать кнопку F1 по запросу веб-сайта, и стало ответом на обнаруженную польским экспертом уязвимость в VBScript, позволяющую компрометировать ПК с запущенным Internet Explorer. Microsoft – не единственная компания, которая выпустила в этот вторник комплекты патчей. Так, фирма Adobe осуществила релиз патчей для Reader и Acrobat, с помощью которых устранила в них 15 брешей. Плюс к этому, компания Oracle выпустила 16 патчей для программных продуктов Sun Microsystems и 47 обновлений для своего ПО баз данных. Загрузить и установить последние обновления Microsoft можно либо через службы Windows Update и Microsoft Update, либо через Windows Server Update Services.
Просмотров:
297
|
Добавил:
wolf
|
Дата:
14.04.2010
|
|
 5 апреля на веб-сервисе Apache JIRA (разработчик Atlassian) был
создан тикет
INFRA-2591, который эксплуатировал XSS-уязвимость в системе JIRA и
содержал
ссылку на короткий URL сервиса TinyURL. С использованием XSS и указанной
ссылки
злоумышленникам удалось получить cookies, принадлежащие авторизированным
администраторам сайта. Параллельно проводимой XSS-атаке, был организован
подбор
паролей по словарю, направленный на системы авторизации JIRA, таким
образом были
скомпрометированы учетные записи, содержащие словарные пароли.
На следующий день, получив пароль администратора злоумышленникам
удалось
изменить опубликованные JSP-приложения на вредоносный код, который
обеспечил
удаленный доступ к файловой системе веб-сервиса.
9 апреля, с использованием JAR-приложения нападавшим удалось собрать
пароли
пользователей, которые сохранялись при авторизации в системе JIRA.
Основной
задачей злоумышленников было получить администраторский доступ к другим
серверам
проекта Apache, поэтому вместе со сбором паролей от авторизированных
пользователей был произведен сброс паролей членов команды Apache, в
результате
которого члены команды получили письмо о необходимости изменить пароль
для
доступа к веб-сервису JIRA. Думая, что сброс пароля стал сбоем в работе
системы
JIRA, члены команды изменили пароли, при этом один из паролей оказался
таким же,
как и у администратора на сервере brutus.apache.org (веб-сервисы JIRA,
Confluence и Bugzilla). Таким образом злоумышленникам удалось получить
полный
администраторский доступ через SSH. Обнаружив кэшированные учетные
записи на
сервере, злоумышленники попытались получить доступ к основному серверу
Apache -
minotaur.apache.org (people.apache.org), однако, доступ так и не был
получен.
Спустя 6 часов после сброса паролей, команда Apache заподозрила неладное
и
предприняла меры по переезду на новый веб-сервер thor.apache.org, так
как
злоумышленники имели администраторский доступ к brutus.apache.org в
течение
нескольких часов. Вместе с тем, об уязвимости было сообщено
разработчикам
системы JIRA и его состояние не вызывало доверия.
К 10 апреля, сервисы JIRA и Bugzilla вернулись в Интернет, а 13
апреля
компания Atlassian исправила XSS-уязвимость. Проект Confluence на данный
момент
находится в процессе восстановления.
Просмотров:
388
|
Добавил:
wolf
|
Дата:
14.04.2010
|
|
 Недавнее обновление
прошивки PlayStation 3 до версии 3.21 привело к тому, что
пользователи не
смогут устанавливать на игровую консоль Linux. Эта возможность в народе
была
прозвана "Other OS" (Другая ОС) и очень помогала разным
экспериментаторам и
ученым использовать эту очень производительную консоль не по назначению.
Нужно
отметить, что хакеры уже решили проблему и функция Other OS снова есть,
но в
Европе некоторые пользователи решили пойти другим путем.
Один из геймеров, ссылаясь на европейские законы о правах
потребителей решил
требовать компенсацию. Согласно его заявлению, продукт перестал
выполнять
некоторые из своих функций, которые присутствовали при его покупке (а
так оно и
получилось) и это значит, что производителю придется платить
компенсацию. Ее
размер решили оценить в 20% стоимости консоли или примерно 130 долларов.
При
этом покупателю не нужно ни возвращать консоль, ни сдавать ее в ремонт. В
данном
случае получилось так, что крайним оказался ритейлер, т.е. Amazon, но
если за
догадливым геймером пойдут и другие, то выплачивать компенсации будет
Sony, как
производитель.
Просмотров:
369
|
Добавил:
wolf
|
Дата:
14.04.2010
|
|
 Пользователи ее ненавидят. Для администраторов она – источник
головной боли.
И тем не менее, IT-отделы зачастую в обязательном порядке ее практикуют –
частая
смена паролей является частью политики по улучшению компьютерной
безопасности.
Новое исследование доказывает то, о чем многие догадывались еще с тех
пор,
когда впервые увидели на экране монитора всплывающее окно,
предупреждающее о
скором истечении срока действия пароля и необходимости заводить новый.
Частая
смена паролей – не более, чем пустая трата времени, и к такому выводу
пришел не
кто-нибудь, а компания Microsoft, предпринявшая исследование, целью
которого
было изучение эффективности этой меры в борьбе с киберугрозами.
Авторы отчета указывают на то, что завладевшие паролем злоумышленники
чаще
всего используют его сразу, а не ждут целыми неделями, пока ты его
поменяешь.
Впрочем, и вредным такой подход назвать нельзя - во всяком случае, до
тех пор,
пока человек не начинает использовать слишком простые или короткие
пароли.
Тем не менее, частая смена паролей означает потерю рабочего времени, а
значит
– денег. Согласно приблизительным подсчетам исследователей, чтобы быть
экономически оправданной, одна минута в день, затрачиваемая на смену
пароля,
должна оборачиваться экономией 16 миллиардов долларов, полученной от
предотвращения убытков. Вряд ли реальные показатели экономии хотя бы
сколько-нибудь близко приближаются к этой цифре.
Просмотров:
351
|
Добавил:
wolf
|
Дата:
14.04.2010
|
| |