В браузере Opera устранена критическая брешь

00

Норвежская компания Opera устранила опасную уязвимость в девятой версии своего одноименного браузера для операционных систем Microsoft Windows. В браузере Opera 9.х, в числе прочего, реализованы поддержка виджетов, возможность избирательного блокирования элементов страниц и функция отображения уменьшенной копии веб-страницы при наведении указателя на заголовок таба. Кроме того, браузер поддерживает протокол BitTorrent, упрощающий загрузку из интернета больших файлов. И именно с загрузкой материалов по данному протоколу связана выявленная проблема. Как сообщается в бюллетене безопасности Opera, для организации нападения злоумышленнику необходимо вынудить пользователя щелкнуть правой кнопкой мыши по составленному специальным образом torrent-файлу в менеджере загрузок.

Новый вариант червя Stration распространяется через Skype и ICQ

00

Специалисты по вопросам компьютерной безопасности предупреждают о появлении новой модификации червя Stration, способной распространяться через сеть IP-телефонии Skype, а также популярные системы обмена мгновенными сообщениями. Вредоносная программа Stration появилась в прошлом году. Особой опасности для пользователей компьютеров Stration не представляет, и, тем не менее, антивирусные компании относятся к червю достаточно серьезно. Дело в том, что на сегодняшний день известно уже о нескольких сотнях модификаций вредоносной программы, и злоумышленники регулярно продолжают пополнять семейство Stration новыми вариантами. Об очередной версии Stration в своем блоге сообщил Крис Бойд, специалист компании FaceTime Communications.

Утилиты от Microsoft изолируют зараженные файлы

00

В прошедший понедельник Microsoft выпустила 2 утилиты, предназначенные для защиты файлов Office 2003 от вредоносного кода. Обе утилиты, о которых было объявлено ранее в этом месяце, задуманы для защиты от так называемых Office "zero-day" атак, которые используют уязвимости до того, как Microsoft выпустит для них заплатки. Такого рода атаки стали очень распространены в последние месяцы, так как нападающие выискивают дыры в Office для проникновения в корпоративные сети. Первая из утилит, так называемая Microsoft Office Isolated Conversion Environment (MOICE), предназначена для защиты пользователей Office 2003 и Office 2007. С никакими другими версиями Office она работать не будет.

Apple выпустила очередную порцию патчей для Mac OS X

00

Компания Apple выпустила очередную серию патчей для операционной системы Mac OS X. Как сообщается в бюллетене безопасности 2007-005, всего в мае были устранены семнадцать уязвимостей. Большая часть дыр не представляет особой опасности, однако некоторые из них теоретически могут использоваться с целью незаконного проникновения на удаленный компьютер и выполнения на нем произвольных операций. Одна из наиболее серьезных проблем связана с особенностями обработки операционной системой файлов в формате PDF. Для организации нападения злоумышленнику необходимо вынудить потенциальную жертву открыть составленный специальным образом PDF-документ. Обработка такого файла спровоцирует ошибку переполнения буфера и последующее выполнение произвольного вредоносного кода.

В плеере QuickTime устранены две опасные дыры

00

Компания Apple устранила две уязвимости в программном плеере QuickTime. Как сообщается в опубликованном на днях бюллетене безопасности, обе проблемы связаны с особенностями реализации поддержки Java в приложении. Одна из дыр теоретически позволяет злоумышленнику получить несанкционированный доступ к удаленному компьютеру и выполнить на нем произвольный программный код. Для реализации нападения достаточно заманить потенциальную жертву на сформированный специальным образом веб-сайт в интернете. Вторая брешь также может быть задействована через вредоносную веб-страницу. Эта дыра обеспечивает возможность несанкционированного чтения памяти браузера и не может использоваться для захвата контроля над удаленным компьютером.

Хакеры используют пиринговые сети для проведения DoS-атак

00

Эксперты по вопросам компьютерной безопасности отмечают увеличение числа DoS-атак, осуществляемых через файлообменные сети. При традиционной DoS-атаке (denial of service) сеть зомбированных компьютеров, контролируемых злоумышленниками, используется для генерации и отправки жертве многочисленных запросов. В результате, сервер-мишень, не справившись с огромным количеством мусорных данных, перестает обслуживать пользователей. В начале прошлого года, как сообщает New Scientist Tech, сотрудники Политехнического института в Бруклине (Нью-Йорк) продемонстрировали, что провести DoS-атаку можно при помощи обычных компьютеров, подключенных к файлообменной сети.

В Firefox 2.0 устранены несколько дыр

00

Сообщество Mozilla.org устранило уязвимости в браузере Firefox версий 2.0 и 1.5, а также в пакете SeaMonkey. Одна из дыр в Firefox охарактеризована как критически опасная. Проблема связана с ошибками, возникающими в памяти при определенных условиях. Уязвимость теоретически может использоваться злоумышленниками для получения несанкционированного доступа к удаленному компьютеру и последующего выполнения на нем произвольного вредоносного кода. Кроме того, в Firefox устранены несколько менее опасных дыр, которые обеспечивают возможность осуществления XSS-атак (Cross-Site Scripting), кражи персональных данных и аварийного завершения работы программы. Пользователям Firefox 2.

Взлом Windows Vista UAC в два приема

00

Еще один исследователь безопасности нашел путь обхода чересчур активной и назойливой функции Windows Vista User Account Control (UAC, Контроль Учетных Записей). Роберт Павеза (Robert Paveza), разработчик web-приложений в маркетинговой фирме Terralever, опубликовал исследование, демонстрирующее двухшаговую атаку, позволяющую, по его словам, вредоносному коду инфицировать систему Vista даже из-под учетной записи, запущенной в рамках ограничения привилегий системой UAC. Атака использует тот факт, что разрешения UAC в некоторой степени проницаемы, позволяя программам использовать процессы с предоставленными высокими привилегиями. Это имеет отношение к одному из дефектов в UAC, указанному исследовательницей безопасности Джоанной Рутковска (Joanna Rutkowska) в феврале.

В Google Desktop обнаружена уязвимость

00

В конце прошлой недели в интернете появился пример сценария атаки, посредством которой можно получить доступ к компьютеру с установленным персональным поисковиком Google Desktop. Как сообщает PC World, о проблеме стало известно от хакера Роберта Хансена. Для организации нападения сначала необходимо тем или иным способом осуществить перехват данных, пересылаемых между компьютером жертвы и серверами Google. Сделать это можно, например, вынудив пользователя подключиться к бесплатной точке беспроводного доступа в Сеть, контролируемой злоумышленниками. Далее в пересылаемые сервером Google пользователю веб-страницы может быть встроен вредоносный код на JavaScript.

В IE и Firefox обнаружены новые дыры

00

В браузерах Internet Explorer и Firefox обнаружены новые уязвимости различной степени опасности. Дыры, заплаток для которых в настоящее время не существует, были выявлены экспертом по вопросам компьютерной безопасности Майклом Залевски. Наиболее серьезная проблема затрагивает браузер Internet Explorer версий 6 и 7. Дыра позволяет злоумышленнику выполнить произвольный JavaScript-код в момент перехода пользователя от одной веб-страницы к другой. Теоретически, брешь может применяться с целью захвата контроля над удаленным компьютером. Кстати, Залевски разработал пример вредоносного кода, при помощи которого можно задействовать уязвимость. Еще одна дыра в IE позволяет фальсифицировать информацию в адресной строке браузера.

Page: [1] [2]