Американская группа ИТ-специалистов US CERT обнаружила критические уязвимости в оборудовании крупнейших мировых производителей сетевых устройств Cisco Systems и Juniper Networks.

Сотрудники US CERT не раскрывают подробности уязвимостей, так как оборудование, подверженное уязвимостям, находится в использовании практически у всех американских местных и федеральных ведомств.

Кроме того в US CERT сообщили о наличии проблем с программным обеспечением в решениях других поставщиков решений для работы компьютерных сетей, в частности Sonic Wall и SafeNet.

Известно, что во всех случаях уязвимости связаны с технологией SSL VPN, позволяющей безопасно передавать данные между двумя компьютерами через интернет.

ОПИСАНИЕ:
Обнаружена критическая уязвимость в Microsoft Internet Explorer версий 6.x и 7.x, которая может позволить злоумышленнику скомпрометировать целевую систему.

Уязвимость существует из-за ошибки в Microsoft HTML Viewer (mshtml.dll) при обработке определенных CSS объектов в методе getElementsByTagName().

Злоумышленник может создать специально сформированную Web страницу, обманом заманить на нее пользователя и выполнить произвольный код на уязвимой системе с привилегиями пользователя, запустившего браузер. Способов устранения уязвимости не существует в настоящее время.

Согласно Symantec, в настоящий момент уязвимость активно эксплуатируется злоумышленниками.

Apple выпустила кумулятивное обновление, закрывающее 58 уязвимостей операционной системы Mac OS X и ее компонентов.

Более половины исправлений касается дефектов, дающих злоумышленникам доступ к несанкционированному исполнению кода.

Речь идет об уязвимостях в 37 компонентах Mac OS X - таких, например, как сетевой протокол AFP, открытый веб-сервер Apache, графическая подсистема CoreGraphics, настольная поисковая система Spotlight, медиапроигрыватель QuickTime и прочих.

По сообщению Apple, ошибка в Apache может привести к атаке с использованием межсайтового скриптинга, а проблема в CoreGraphics позволяет вредоносному PDF-файлу предоставлять возможность для удаленной атаки за счет переполнения буфера.

Антивирус Dr.Web, разрабатываемый российской компанией «Доктор Веб», оказался единственным из 7 популярных антивирусов, который не удалось взломать в рамках теста, проведенного участниками конгресса International Alternative Workshop on Aggressive Computing and Security под эгидой французской Высшей Школы Информатики, Электроники и Автоматики (ESIEA).

C 23 по 25 октября во французском городе Лаваль проходил первый конгресс iAWACS (International Alternative Workshop on Aggressive Computing and Security), инициированный Высшей Школой Информатики, Электроники и Автоматики (ESIEA).

В рамках данного мероприятия было проведено тестирование 7 антивирусов на возможность взлома системы самозащиты в течение одного часа.

Тестирование проводилось на компьютерах под управлением операционной системы Windows с правами администратора, дабы условия были более реалистичными.

В общей сложности оно заняло около часа. Более подробная информация о тестировании представлена на официальном сайте ESIEA.

Корпорация Microsoft выпустила бесплатную утилиту, призванную усилить защиту программ от атак через эксплуатацию распространенных уязвимостей, то есть для блокировки работы приложений, в которых ранее были найдены и доказаны те или иные опасные программные уязвимости, приводящие ко взлому компьютера и хищению данных.

Данная разработка будет полезна в корпоративном секторе, где программное обеспечение обновляется сравнительно редко, а конфиденциальных данных много.

Программа, названная EMET или Enhaced Mitigation Evalution Toolkit, позволяет разработчикам и администраторам добавлять специальные опции безопасности к тем или иным проинсталлированным на компьютере приложениям.

От других программ, направленных на блокировку уязвимых приложений, EMET выгодно отличает то, что не требуется перекомпиляция программ. Поэтому EMET можно использовать даже с программами, не поставляемыми в исходных кодах.

Securelist.com разрабатывается Лабораторией Касперского. На сайте есть блог, в котором постяться сотрудники ЛК, а простые пользователи, зарегистрировавшись, могут их комментировать. У комментраиев есть рейтинг.

Как только рейтинг всех комментариев пользователя становится >=100, то пользователь получает статус блоггера и может постить в блог. И однажды я там зарегистрировался...

[Disclaimer]
Все действия, описанные ниже, представлены исключительно для ознакомения. Администрация портала была поставлена в известность обо всех уязвимостях, найденных на сайте. Для снятия некоторых скриншотов сайта я воспользовался сервисом peeep.us хабрапользователя snusmumrik. Отдельное спасибо команде портала R3AL.RU за помощь и поддержку.

Компания Oracle подготовила к выпуску очень большой пакет исправлений.

Завтра Oracle выпустит очередной квартальный Critical Patch Update, в котором будут содержаться исправления сразу для 38 уязвимостей в различных программных компонентах, производимых компанией.

ОПИСАНИЕ:
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных при обработке заголовков потоковых данных.

1. Атакующий может передать специально сформировано сформированные данные, что приведет к выполнению произвольного кода.

2. Уязвимость существует из-за ошибки в проверке входных данных при обработке DOM объектов. Атакующий может передать специально сформировано сформированные данные, что приведет к выполнению произвольного кода.

ОПИСАНИЕ:
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных при обработке '.bps' файлов. Атакующий может передать специально сформированные файлы, что приведет к выполнению произвольного кода.

Как было объявлено в пятницу, 9 октября 2009, вчера Microsoft выпустила одно из самых крупных программных обновлений для операционных систем Windows.

Корпорация Майкрософт выпустила традиционное ежемесячное обновление для операционных систем Windows, которое в этот раз содержит рекордное количество заплаток для различных уязвимостей.

В общей сложности в пакет исправлений вошло 13 патчей, закрывающих 34 дыры в Microsoft Windows, Silverlight, Office и других продуктах компании.

Несмотря на то, что официальный выход Windows 7 должен состояться только 22 октября, Microsoft уже сейчас выпускает обновления для своей новой платформы.

Напомним, на сегодняшний день многие энтузиасты используют эту операционную систему как в предрелизных версиях (Beta, Release Candidate), так и в окончательной версии (Release To Manufacturing).

По официальной информации, шесть заплаток имеют самый высокий приоритет и рекомендованы к немедленной установке - они обеспечивают более надежную защиту пользователей от вредоносного программного обеспечения и действий хакеров.

Корпорация Google выпустила исправление для мобильной платформы Android 1.5, закрывающее две уязвимости в системе безопасности, которые позволяли проводить атаки отказа в обслуживании.

Проблемы были обнаружены исследователями команды Open Source Computer Emergency Response Team (oCERT).

Воспользовавшись одной из дыр, хакеры могли отправить по WAP-протоколу СМС, представленное как Push-сообщение. Вредоносный код этого СМС мог привести к ошибке исключения ArrayIndexOutOfBoundsException (адресация элементов за пределами массива) в Java-приложении android.com.phone.

Аварийно завершившееся приложение автоматически перезапускалось, попутно приводя к временному отключению телефона от мобильной сети и пропуску входящих звонков. Тем пользователям, у которых сим-карта требовала ввода PIN, приходилось набирать его заново. При длительном повторении ошибки мог произойти отказ в обслуживании.