Полезная информация

В мире Mozilla происходит много интересных событий. Но вам не нужно постоянно посещать новостные сайты, чтобы быть в курсе всех изменений. Зайдите на ленту новостей Mozilla Россия.

№126-08-2010 21:44:17

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.6

Критические дни

(Источник: «Компьютерные вести» №33, 26 августа 2010 года)

Критическая уязвимость в 40 Windows-приложениях

Оказывается, баг в Apple iTunes под Windows, закрытый в версии 9.1, оказался гораздо серьезнее, чем предполагалось. По словам Эйч Ди Мура (автор известной программы Metasploit), он не исключителен для iTunes, а присутствует еще примерно в 40 программах Windows, включая Windows-шелл, и Microsoft никак не сможет его закрыть одним патчем. Для каждого приложения придется выпустить отдельное обновление.

Названия приложений не сообщаются, чтобы не выдать механизм создания эксплойта. Однако Эйч Ди Мур заметил, что этот баг похож на недавно обнаруженную белорусами уязвимость с ярлыками Windows, которая была закрыта внеочередным патчем Microsoft от 2 августа. Эйч Ди Мур обнаружил новую уязвимость как раз тогда, когда изучал баг с ярлыками. Здесь злоумышленник может подгрузить на машину жертвы .dll после того, как пользователь откроет "безопасный" файл с сетевого диска. Атака возможна через браузер или другую программу, например, офисные приложения с внедренным контентом.

Рекомендации по защите аналогичны тем, что были в прошлый раз: блокировка исходящего SMB (порты TCP 139 и 445) и отключение клиента WebDAV.

Ликвидирована серьезная уязвимость в Linux

Группа разработчиков ядра Linux под руководством Линуса Торвальдса ликвидировала уязвимость в коде этой ОС. Как показал анализ, эксплуатация этой уязвимости злоумышленниками могла бы привести к полной компрометации системы. К счастью, разработчики выявили уязвимость раньше хакеров.

Как говорит основательница польской компании ITL Джоанна Рутковская, данная уязвимость возникала в ходе работы X-сервера с GUI системы. Проблема обнаружилась в связке "ядро - графический X-сервер". Используя определенные команды и запросы, через Х-сервер злоумышленники могли бы получить администраторский доступ к ОС.

Уязвимость затрагивает все ядра Linux, начиная с версии 2.6.0, причем она характерна как для 32-, так и для 64-битных систем на базе процессоров x86. В рассылке для разработчиков Торвальдс сообщил, что после вмешательства проблема была устранена в ядрах 2.6.27.52, 2.6.32.19, 2.6.34.4 и 2.6.35.2.


May the FOSS be with you!

Отсутствует

 

№226-08-2010 21:54:06

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Konqueror 4.5

Re: Критические дни

Названия приложений не сообщаются,

А это что?

скрытый текст
securitylab.ru
Небезопасная загрузка библиотеки в Opera

Небезопасная загрузка библиотеки в Mozilla Firefox

Небезопасная загрузка библиотеки в uTorrent

Небезопасная загрузка библиотеки в Wireshark

Небезопасная загрузка библиотеки в VLC Media Player

Небезопасная загрузка библиотеки в адресной книге в Microsoft Windows

Небезопасная загрузка библиотеки avast! Antivirus

Небезопасная загрузка библиотеки в Microsoft Office Groove

Небезопасная загрузка библиотеки в Windows Live Mail

Отсутствует

 

№326-08-2010 22:06:06

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.6

Re: Критические дни

sentaus
Ну тут же два разных источника информации: в "Компьютерных вестях" пересказаны слова автора программы Metasploit, а у Вас - сообщения от securitylab.ru. Эйч Ди Мур мог и не называть проблемные приложения.


May the FOSS be with you!

Отсутствует

 

№426-08-2010 23:53:38

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: Критические дни

sentaus
George Yves
оба источника 'хороши'
первый не говорит названия программ но говорит как защитится
второй сообщает названия но говорит что защиты нет

скрытый текст

http://www.kv.by/index2010333901.htm
....Названия приложений не сообщаются, чтобы не выдать механизм создания эксплойта.
.....
Рекомендации по защите аналогичны тем, что были в прошлый раз: блокировка исходящего SMB (порты TCP 139 и 445) и отключение клиента WebDAV.

http://www.securitylab.ru/vulnerability/397129.php
Небезопасная загрузка библиотеки в Mozilla Firefox

26 августа, 2010

Программа: Mozilla Firefox 3.6.8 для Windows, возможно другие версии

Опасность: Высокая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за того, что приложение загружает небезопасным образом библиотеки (например, dwmapi.dll). Удаленный пользователь может с помощью специально сформированного HTML файла, расположенного на удаленном WebDAV или SMB ресурсе, загрузить и выполнить произвольные библиотеки на системе.

URL производителя: www.mozilla.com/firefox

Решение: Способов устранения уязвимости не существует в настоящее время.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№527-08-2010 00:00:14

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
UA: Opera 10.6
Веб-сайт

Re: Критические дни

okkamas_knife
«Отрубить и не пользоваться» — это не «устранение уязвимости».


Ядрёная консоль делает меня сильней!

Отсутствует

 

№627-08-2010 00:10:59

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: Критические дни

krigstask пишет

«Отрубить и не пользоваться» — это не «устранение уязвимости».

а там разве гдето написано про «устранение уязвимости»?
там написано про защиту от уязвимости, а это две большие разницы.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№727-08-2010 04:07:16

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 3.6
Веб-сайт

Re: Критические дни

George Yves пишет

Ликвидирована серьезная уязвимость в Linux

Группа разработчиков ядра Linux под руководством Линуса Торвальдса ликвидировала уязвимость в коде этой ОС. Как показал анализ, эксплуатация этой уязвимости злоумышленниками могла бы привести к полной компрометации системы. К счастью, разработчики выявили уязвимость раньше хакеров.

rofl.gif

Согласно публикации Джули Борт, уязвимость впервые была обнаружена еще в 2004 году и тогда же исправлена в дистрибутиве SUSE, однако по какой-то причине исправление не дошло до основной ветви разработки и уязвимость была забыта вплоть до тех пор, пока она не была обнаружена повторно в текущем году исследователем в области информационной безопасности Рафалем Войтчуком (Rafal Wojtczuk).

http://www.cnews.ru/news/line/index.shtml?2010/08/23/406081
6 лет дырке, а не "пару дней" !!!

Добавлено 27-08-2010 04:12:21

Вместе с тем, Джонатон Корбет (Jonathon Corbet), редактор издания LWN.net, не считает, что данная уязвимость представляет критическую угрозу: “Мне бы хотелось отметить, что подобного рода уязвимость предполагает, что злоумышленник уже скромпрометировал систему в степени, достаточной для локального запуска программного кода; сама по себе эта уязвимость не может дать злоумышленнику доступ к уязвимой системе”, – отмечает Джонатон Корбет.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№827-08-2010 09:11:26

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.6

Re: Критические дни

Keepun пишет

6 лет дырке, а не "пару дней" !!!

scratch_one-s_head.gif
А где-нибудь говорилось о "паре дней"?


May the FOSS be with you!

Отсутствует

 

№927-08-2010 09:27:54

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
UA: Firefox 3.5
Веб-сайт

Re: Критические дни

... Когда прочитал название темы, подумал, что речь пойдет немножко о другом :)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№1027-08-2010 10:37:30

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
UA: Opera 10.6
Веб-сайт

Re: Критические дни

okkamas_knife пишет

а там разве гдето написано про «устранение уязвимости»? там написано про защиту от уязвимости, а это две большие разницы.

okkamas_knife пишет

второй сообщает названия но говорит что защиты нет

okkamas_knife пишет

Решение: Способов устранения уязвимости не существует в настоящее время.

Читаем и думаем.

Добавлено 27-08-2010 10:44:56
Rosenfeld
Опять все мысли о бабах! (-%Е


Ядрёная консоль делает меня сильней!

Отсутствует

 

№1127-08-2010 12:11:24

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.6

Re: Критические дни

Rosenfeld
Я как раз и хотел, чтобы заголовок был немного catching.


May the FOSS be with you!

Отсутствует

 

№1227-08-2010 12:17:08

Lain_13
Забанен
 
Группа: Members
Откуда: Волшебная Страна
Зарегистрирован: 26-04-2006
Сообщений: 10320
UA: Minefield 4.0

Re: Критические дни

George Yves
Желтой прессы начитался, штоле?

Отсутствует

 

№1327-08-2010 13:46:58

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.6

Re: Критические дни

Lain_13 пишет

George Yves
Желтой прессы начитался, штоле?

Нет. Просто я хорошо изучал спецкурс "Перевод англоязычных СМИ" в Минском государственном лингвистическом университете. Плюс внимательно читал рекомендации для молодых сотрудников Би-би-си.


May the FOSS be with you!

Отсутствует

 

№1427-08-2010 15:37:23

=Agasfer=
linux user #526929
 
Группа: Extensions
Откуда: /home
Зарегистрирован: 06-11-2008
Сообщений: 6578
UA: Opera 10.5

Re: Критические дни

Ажиотаж то какой подняли!!!! Этож надо - дырка в линуксе!!! Для маздая-то это в порядке вещей, там постоянно какие-то дыры вылазят и годами висят.
Такая шумиха говорит отнюдь не о ненадёжности линя, а с точностью до наоборот. Не столь уж часто обнаруживают дырки в открытом (!) коде линукса, потому и шумят, когда представляется случай.


Arch Linux & xmonad

Отсутствует

 

№1527-08-2010 17:16:20

Lain_13
Забанен
 
Группа: Members
Откуда: Волшебная Страна
Зарегистрирован: 26-04-2006
Сообщений: 10320
UA: Minefield 4.0

Re: Критические дни

George Yves
> спецкурс "Перевод англоязычных СМИ" в Минском государственном лингвистическом университете
Тоесть это именно там обучают давать новостям максимально не относящиеся к смыслу новости имена или таки в рекомендациях для молодых сотрудников би-би-си?
У заголовка новости и текста общего только слово "критический" в совершенно разных контекстах. Catching, очень по-желтушному catching, ога.

Отсутствует

 

№1627-08-2010 17:29:45

lump
 
Группа: Guest
UA: Minefield 4.0

Re: Критические дни

Смотрю на название, опа корм! Открываю тему, бааалииин опять дважды пять. Не интересно такое читать ;)

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]