Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Russian Security Newsline 27.04.2014
2 views
Skip to first unread message
Dmitry Leonov
Apr 27, 2014, 9:31:56 AM4/27/14
to
Приветствую!
Russian Security Newsline 27.04.2014
Уязвимость во всех версиях Internet Explorer
dl // 27.04.14 17:27
Microsoft предупреждает об уязвимости в IE, приводящей к возможному
удаленному исполнению кода из-за попытки работы с уже удаленными
объектами. Согласно обнаружившей уязвимость компании FireEye, она
присутствует во всех версиях с 6 по 11, однако обнаруженная атака
ориентирована на версии с 9 по 11 и основана на взаимодействии с Flash.
Исправления еще нет, пока предлагается ограничить использование скриптов и
ActiveX, переведя уровень безопасности для зоны Internet в состояние High.
В серверных ОС этот уровень выставлен по умолчанию.
Источник:
https://technet.microsoft.com/en-us/library/security/2963983.aspx
-----------------------------
Демонстрация уязвимости в механизме обновления Dr.Web
dl // 23.04.14 12:17
В опубликованной на Хабре статье описывается процесс использования
процедуры обновления антивируса Dr.Web для атаки на клиентскую систему.
Поскольку обновления идут по чистому http, любая атака с перенаправлением
трафика позволяет подсунуть апдейтеру любые модули, причем он не
распознает подмену (в старых версиях проверяется только целостность
модулей на основе контрольной суммы). Отметившийся в комментариях
сотрудник Dr.Web настаивает на том, что современные версии продукта
используют корректную проверку валидности компонентов, которую нельзя
обойти простой подменой, хотя и признал, что продемонстрированная в статье
несработавшая проверка - это ошибка конкретной версии.
Источник: http://habrahabr.ru/post/220113/
-----------------------------
Также в выпуске:
Безопасность не волнует рунетовские веб-студии
(http://bugtraq.ru/rsn/archive/2014/04/05.html) // 22.04.14 14:11
Ежеквартальный патч от Oracle
(http://bugtraq.ru/rsn/archive/2014/04/04.html) // 16.04.14 14:06
Другие обновления на сайте:
BugTraq - обозрение #353
[ http://bugtraq.ru/review/archive/2014/27-04-14.html ]
// 27.04.14 17:28
- Уязвимость во всех версиях Internet Explorer;- Демонстрация уязвимости в механизме обновления Dr.Web;- Образцово-показательный взлом через OpenSSL за три часа;- Прощальные патчи для XP и Office 2003;- Критичная уязвимость в OpenSSL;
Третья пятерка из рейтинга статей:
[ http://bugtraq.ru/library/rating/ ]
В Финляндии с интернет-зависимостью не берут в армию [9.19]
[ http://bugtraq.ru/rsn/archive/2004/08/06.html ]
04.08.04 03:17
Тестер. Часть 3 [9.15]
[ http://bugtraq.ru/library/fiction/tester3.html ]
04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15]
[ http://www.bugtraq.ru/library/security/integrity.html ]
21.08.03 19:47
Анализ комплексных показателей надежности сетей передачи данных [9]
[ http://bugtraq.ru/library/internals/markovnetwork.html ]
27.12.12 13:19
Space dot com [8.97]
[ http://bugtraq.ru/library/fiction/spacedotcom.html ]
16.04.06 05:26
Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru
Russian Security Newsline 27.04.2014
Уязвимость во всех версиях Internet Explorer
dl // 27.04.14 17:27
Microsoft предупреждает об уязвимости в IE, приводящей к возможному
удаленному исполнению кода из-за попытки работы с уже удаленными
объектами. Согласно обнаружившей уязвимость компании FireEye, она
присутствует во всех версиях с 6 по 11, однако обнаруженная атака
ориентирована на версии с 9 по 11 и основана на взаимодействии с Flash.
Исправления еще нет, пока предлагается ограничить использование скриптов и
ActiveX, переведя уровень безопасности для зоны Internet в состояние High.
В серверных ОС этот уровень выставлен по умолчанию.
Источник:
https://technet.microsoft.com/en-us/library/security/2963983.aspx
-----------------------------
Демонстрация уязвимости в механизме обновления Dr.Web
dl // 23.04.14 12:17
В опубликованной на Хабре статье описывается процесс использования
процедуры обновления антивируса Dr.Web для атаки на клиентскую систему.
Поскольку обновления идут по чистому http, любая атака с перенаправлением
трафика позволяет подсунуть апдейтеру любые модули, причем он не
распознает подмену (в старых версиях проверяется только целостность
модулей на основе контрольной суммы). Отметившийся в комментариях
сотрудник Dr.Web настаивает на том, что современные версии продукта
используют корректную проверку валидности компонентов, которую нельзя
обойти простой подменой, хотя и признал, что продемонстрированная в статье
несработавшая проверка - это ошибка конкретной версии.
Источник: http://habrahabr.ru/post/220113/
-----------------------------
Также в выпуске:
Безопасность не волнует рунетовские веб-студии
(http://bugtraq.ru/rsn/archive/2014/04/05.html) // 22.04.14 14:11
Ежеквартальный патч от Oracle
(http://bugtraq.ru/rsn/archive/2014/04/04.html) // 16.04.14 14:06
Другие обновления на сайте:
BugTraq - обозрение #353
[ http://bugtraq.ru/review/archive/2014/27-04-14.html ]
// 27.04.14 17:28
- Уязвимость во всех версиях Internet Explorer;- Демонстрация уязвимости в механизме обновления Dr.Web;- Образцово-показательный взлом через OpenSSL за три часа;- Прощальные патчи для XP и Office 2003;- Критичная уязвимость в OpenSSL;
Третья пятерка из рейтинга статей:
[ http://bugtraq.ru/library/rating/ ]
В Финляндии с интернет-зависимостью не берут в армию [9.19]
[ http://bugtraq.ru/rsn/archive/2004/08/06.html ]
04.08.04 03:17
Тестер. Часть 3 [9.15]
[ http://bugtraq.ru/library/fiction/tester3.html ]
04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15]
[ http://www.bugtraq.ru/library/security/integrity.html ]
21.08.03 19:47
Анализ комплексных показателей надежности сетей передачи данных [9]
[ http://bugtraq.ru/library/internals/markovnetwork.html ]
27.12.12 13:19
Space dot com [8.97]
[ http://bugtraq.ru/library/fiction/spacedotcom.html ]
16.04.06 05:26
Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru
0 new messages