Множественные уязвимости в xine-lib16-08-2008 Технологии безопасности связи
Программа: xine-lib 1.x
Найденные уязвимости позволяют удаленному злоумышленнику выполнить
произвольный код на целевой системе.
1) Уязвимость возникает из-за ошибки в проверке входных данных при обработке
ID3 тэгов в src/demuxers/id3.c. Атакующий может передать специально
сформированные поля, содержащие размер заголовка ID3 фрейма, что приведет к
переполнению динамической памяти и выполнению произвольного кода.
2) Уязвимость возникает из-за ошибки в проверке входных данных в функции &... Голландская полиция разрушает ботнет Shadow15-08-2008 Технологии безопасности связи
Голландский отдел по борьбе с преступлениями в сфере высоких технологий на
прошлой неделе обнаружил при
аресте 19-летнего голландца
массовую бот-сеть. После этого подразделение обратилось в "Лабораторию
Касперского" с просьбой проинструктировать жертв, вовлеченных в ботнет, на
предмет удаления вредоносного ПО, установленного на их машинах. Удаление этого
ПО означает конец сети.
По запросу полиции Нидерландов в "Лаборатории Касперского" составили
детальную инстру...
Малолетних хакеров наставят на путь истинный14-08-2008 Технологии безопасности связи
Работники свердловского отделения "К" взяли шефство над малолетними хакерами.
Как сообщает "Новый Регион", отделение "К" занимается воспитанием детей и
подростков, уличенных в сетевых преступлениях.
Об этой необычной практике борьбы с преступностью в Интернете рассказал
заместитель начальника свердловского отдела "К" Артем Письменный. Он отметил,
что в столице Урала очень много "малолетних компьютерных гениев", способных в
два счета по... Нарушение конфиденциальности информации в gelato CMS14-08-2008 Технологии безопасности связи
Программа: gelato CMS 0.95
Уязвимость позволяет удаленному злоумышленнику получить несанкционированный
доступ к конфиденциальной информации на целевой системе. Уязвимость существует
из-за ошибки в проверке входных данных сценарием imgsize.php. Атакующий может
получить содержимое произвольных файлов на целевой системе.
Эксплоит:
http://localhost/[Script]/classes/imgsize.php?img=[file]
http://localhost/[script]/classes/imgsize.php?img=../index.php Delphi 2009: Tiburon со слов очевидцев13-08-2008 Технологии безопасности связи
Не секрет, что любимые многими разработчиками средства создания программного
обеспечения от Borland, такие как Delphi и C++ Builder, к
середине нынешнего десятилетия стали переживать не лучшие свои времена. Это
вынудило компанию принять ряд организационных мер, направленных на борьбу с
убытками, и фактически отказаться от дальнейшего ведения бизнеса в сфере
создания средств разработки.
В 2006-м году было создано автономное IDE подразделение, учетные активы
которого по-прежнему прин... Повышение привилегий в продуктах CA08-08-2008 Технологии безопасности связи
Программа:
BrightStor ARCserve Backup 11.x
CA Advantage Data Transformer 2.x
CA AllFusion Harvest Change Manager 7.x
CA CleverPath Aion 10.x
CA Embedded Entitlements Manager 8.x
CA eTrust Admin 8.x
CA eTrust Audit 8.x
CA Identity Manager 12.x
CA Single Sign-On 8.x
CA Unicenter Asset Management 11.x
CA Unicenter Job Management Option 11.x
CA Unicenter Network and Systems Management (NSM) 11.x
CA Unicenter Network and Systems Management (NSM) 3.x
CA Unicenter Remote Control 11.x
CA... Motorola опубликовала средства разработки приложений для ее Linux-телефонов08-08-2008 Технологии безопасности связи
Компания Motorola сделала первый релиз "родных" средств разработки приложений
(SDK) для ее мобильных телефонов, работающих под управлением Linux, - MotoDev
Studio for Linux 0.3.
MotoDev Studio for Linux - это набор утилит, основанных на Eclipse, очень
популярного среди Open Source-программистов проекта по созданию интегрированной
среды разработки (IDE). Продукт предназначен для разработчиков, желающих
создавать приложения для новых Linux-смартфонов Motorola, управляемых MOTO... Массовый грабеж: мультивзлом зарубежных шопов08-08-2008 Технологии безопасности связи
Проводить успешные атаки на крупные сайты становится все сложнее. Причина
банальна: их владельцы стараются вовремя апдейтить софт, не оставляя хакерам
никаких шансов. Так есть ли смысл долбиться головой о стену, пытаясь в очередной
раз раскрутить полуживой баг в популярном интернет-магазине? Или эффективнее
собрать «с миру по нитке», сломав малоизвестный движок, а затем опустошить
десяток шопов, работающих на нем? Ответ на этот вопрос можно получить лишь на
практике. Впрочем, обо все... Выполнение произвольного кода в Sun Solaris06-08-2008 Технологии безопасности связи
Программа:
Sun Solaris 10
Sun Solaris 8
Sun Solaris 9
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на
целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в
сетевой утилите snoop(1M) при отображении SMB трафика. Атакующий может передать
специально сформированные пакеты, чтение или обработка которого с включенной
опцией "-i" приведет к выполнению произвольного кода. Обход ограничений безопасности в Net-SNMP06-08-2008 Технологии безопасности связи
Программа: Net-SNMP 5.4.1
Уязвимость позволяет удаленному злоумышленнику обойти ограничения
безопасности на целевой системе. Уязвимость существует из-за ошибки в проверке
входных данных при обработке пакетов. Эксплуатирование уязвимости приведет к
обходу механизма аутентификации на целевой системе.
Пример:
http://www.securityfocus.com/data/vulnerabilities/exploits/29623.zip Лучшие приемы программирования на C04-08-2008 Технологии безопасности связи
Эта статья написана с учетом требований программистов. Здесь собран ряд
рекомендаций, которым следуют авторы, работая программистами и консультантами в
течение нескольких лет, и теперь эти рекомендации предлагаются читателям, чтобы
помочь в их работе. Возможно, не все читатели согласятся со всеми предложенными
здесь рекомендациями, но тем не менее некоторые из советов могут помочь в
разработке и портировании приложений.
http://www.ibm.com/developerworks/ru/library/au-hook_duttaC/ind... SQL-инъекция в Article Friendly31-07-2008 Технологии безопасности связи
Программа: Article Friendly Pro/Standard
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «autid» сценарием authordetail.php и в
параметре «Cat» сценарием categorydetail.php. Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольные SQL команды в
базе данных приложения.
Эксплоит:
Article Friendly Pro:
www.Tar... Новая программа от IBM анализирует код в момент его написания30-07-2008 Технологии безопасности связи
Rational Software Analyzer автоматически сканирует код до 700 раз прежде
чем программа будет написана.
Отделение Rational Software фирмы IBM представило инструмент для разработчиков
который сканирует и проверяет код прямо во время его написания, на этапе
разработки, когда исправление ошибок обходится достаточно дешево. Принцип работы
системы в чем то напоминает проверку правописания в Microsoft
Word.
"К сожалению, мы видим много ошибок в коде. Это число желательно
минимизи... Выполнение произвольного кода в CoolPlayer30-07-2008 Технологии безопасности связи
Программа: CoolPlayer
Уязвимость позволяет локальному злоумышленнику выполнить произвольный код на
целевой системе. Уязвимость существует из-за ошибки в проверке входных данных
при обработке m3u файлов. Атакующий может передать специально сформированные
файлы, что приведет к выполнению произвольного кода.
Эксплоит Выполнение произвольного кода в Cisco IOS30-07-2008 Технологии безопасности связи
Программа: Cisco IOS 12.3(18)
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на
целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в
FTP сервере. Атакующий может передать специально сформированные данные, что
приведет к выполнению произвольного кода.
Эксплоит ECS анонсирует Hydra 9800 GTX+29-07-2008 Технологии безопасности связи
Компания ESC анонсировала набор Hydra Pack, состоящий из двух видеокарт 9800 GTX+. Новинки работают в режиме SLI и охлаждаются с помощью системы водяного охлаждения Thermaltake BigWater 760i. Ядро решений работает на частоте 738 МГц, каждые 512 Мбайт GDDR3-памяти - 2200 МГц, шейдерный блок - 1836 МГц. В комплекте геймеры обнаружат игру Tom Clancys Rainbow Six: Vegas 2. Цена не сообщается. Обход ограничений безопасности в Safari25-07-2008 Технологии безопасности связи
Программа:
Safari 3.x
Safari for Windows 3.x
Уязвимость позволяет удаленному злоумышленнику обойти ограничения
безопасности на целевой системе. Уязвимость существует из-за того, что web сайты
разрешают устанавливать cookie для определенных характерных для некоторых стран
доменов второго уровня. Атакующий может установить известный ID сессии в cookie,
значение которого браузер отправляет на все Web сайты, действующие внутри
затронутого домена (например, co.uk, com.au), что позволит ... SQL-инъекция и межсайтовый скриптинг в EasyDynamicPages24-07-2008 Технологии безопасности связи
Программа: EasyDynamicPages 3.x
Уязвимость позволяет удаленному пользователю осуществить XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.
1) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "year" сценарием staticpages/easycalendar/index.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.
Эксплоит:
http://Example/dynamicpages/inde... Отказ в обслуживании в SWAT 422-07-2008 Технологии безопасности связи
Программа: SWAT 4 1.x
Уязвимость позволяет удаленному злоумышленнику выполнить DoS атаку на целевую
систему.
1) Уязвимость существует из-за ошибки в проверке входных данных при "VERIFYCONTENT"
или "GAMECONFIG" команды, отправленной до соединения с сервером. Атакующий может
передать специально сформированные данные, что приведет к отказу системы в
обслуживании.
Пример:
unrealfp -c VERIFYCONTENT SERVER PORT
2) Уязвимость существует из-за ошибки в проверке входных д... Прямая трансляция с хакерской конференции The Last HOPE19-07-2008 Технологии безопасности связи
The Last HOPE (в
переводе с английского "последняя надежда"), хакерская конференция,
организованная известным хакерским журналом 2600, начинается сегодня, 18 июля, в
Нью-Йорке. Если вы не можете присутствовать не ней лично, у вас есть возможность
слушать прямую трансляцию.
Радиостанция W2H организовала трансляцию с конференции на сайте
http://radio.hope.net/,
передача продлится c 10 утра пятницы (6 утра по московскому времени) до
окончания конференции в воскресенье в 8 ве... Выполнение произвольных команд в PHPizabi18-07-2008 Технологии безопасности связи
Программа: PHPizabi 0.848b C1 HFP1
Уязвимость позволяет удаленному пользователю выполнить произвольные команды
на целевой системе. Уязвимость существует из-за недостаточной обработки входных
данных сценарием v_cron_proc.php. Удаленный пользователь может выполнить
произвольные команды на целевой системе.
Эксплоит SQL-инъекция в AlstraSoft Affiliate Network Pro18-07-2008 Технологии безопасности связи
Программа: AlstraSoft Affiliate Network Pro
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «pgm» сценарием index.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.
Эксплоит:
www.[target].com/Script/index.php?Act=directory&joinstatus=pgmwise&pgm=
-1+uni... Отказ в обслуживании в BlackBerry Unite!18-07-2008 Технологии безопасности связи
Программа: BlackBerry Unite! 1.x
Уязвимость позволяет удаленному злоумышленнику выполнить DoS атаку на целевую
систему. Уязвимость существует из-за ошибки в проверке входных данных в
BlackBerry Attachment Service при обработке PDF документов. Атакующий может
передать специально сформированные документы, что приведет к отказу системы в
обслуживании. Выполнение произвольного кода в Mozilla Firefox18-07-2008 Технологии безопасности связи
Программа: Mozilla Firefox 3.x
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на
целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в
Mozilla на Mac OS X при обработке GIF файлов. Атакующий может передать
специально сформированные GIF файлы, что приведет к выполнению произвольного
кода. OCZ Alchemy Elixir: приятная клавиатура17-07-2008 Технологии безопасности связи
Компания OCZ анонсировала продуктовую линейку Alchemy, которая ориентирована на любителей игр. Первым товаром стала клавиатура Elixir. Как можно видеть на фото, новинка обладает 10 программируемыми клавишами, которые могут работать в трех различных режимах. Размеры контроллера 508 х 200 х 29 мм, вес 838 г. Клавиатура подключается по интерфейсу USB 2.0 и совместима с Windows Vista и Windows XP. Предусмотрено переключение между обычным и игровым режимами.
