Компания Apple работает над заплаткой к уязвимости в iPhone, позволяющей злоумышленнику определить местоположение устройства по GPS, подслушивать телефонный разговор и даже объединить аппарат в мобильную бот-сеть, передает AppleInsider.

Используя данную уязвимость, хакер имеет возможность получить полный доступ к операционной системе мобильника с привилегиями владельца. Несанкционированный доступ осуществляется путем отправки SMS-сообщения, несущего двоичный код. Этот код выполняется телефоном без ведома пользователя.

В программном плеере Shockwave компании Adobe Systems выявлена критическая уязвимость, которая теоретически может использоваться злоумышленниками с целью получения несанкционированного доступа к удаленным компьютерам и выполнения на них произвольных операций.

Информация о дыре из соображений безопасности не раскрывается. Известно лишь, что для организации атаки киберпреступникам необходимо вынудить жертву открыть сформированный специальным образом файл. После этого нападающие получат возможность захватить контрольнад персональным компьютером.

Индийский ИТ-бизнесмен и глава компании Lxlabs, занимающейся разработкой ПО для виртуализации серверов, повесился после того, как хакеры использовали уязвимость в программе его фирмы для атаки на хостинг-провайдера Vaserv.

Глава индийской ИТ-компании Lxlabs К. Т. Лигеш (K. T. Ligesh) был найден повесившимся у себя дома. Это произошло вскоре после того, как крупный британский хостинг-провайдер Vaserv потерял около 100 тыс. сайтов из-за атаки хакеров, использовавших критическую уязвимость в приложении HyperVM, разработанном Lxlabs.

По словам представителей Vaserv, в воскресенье, 7 июня, злоумышленникам удалось проникнуть в систему компании, из-за чего были полностью потеряны данные примерно половины всех сайтов, размещавшихся на серверах Vaserv.

ОПИСАНИЕ:
Уязвимость позволяет удаленному злоумышленнику выполнить DoS атаку на целевую систему. Уязвимость существует из-за ошибки в проверке входных данных в DTLS сервере при обработке ChangeCipherSpec в качестве первой записи датаграммы вместо ClientHello. Атакующий может передать специально сформированные данные, что приведет к отказу системы в обслуживании.

Компания BitDefender опубликовала список наиболее распространенных Интернет-угроз, зарегистрированных в прошлом месяце. Большую часть списка, включая три первые позиции, занимают разнообразные троянские приложения, чаще всего проникающие на компьютеры в результате невнимательности или неосторожности конечных пользователей.

ОПИСАНИЕ:
Проблема связана с модулем DirectShow, используемым для ввода/вывода аудио и/или видеоданных.

Вынудив жертву открыть сформированный специальным образом медиафайл в формате QuickTime, злоумышленник может получить несанкционированный доступ к удаленному компьютеру с привилегиями текущего пользователя.

Таким образом, если владелец ПК вошел в систему в качестве администратора, нападающий сможет выполнить на машине произвольный программный код.

6 марта 2009, на сайте hackersblog.org была опубликована статья, в которым хакер "доказал", что сайт Telegraph.co.uk - можно взломать через SQL-инъекцию. Конечно, после того как уязвимость была устранена.

На этой неделе, unu опять нашёл SQL-инъекцию, которая открывает доступ к 700.000 учётным записям. Но в этот раз, администрация знаменитой газеты - игнорировали его, и румынский хакер решил раскрывать "секрет", не дожидаясь устранения проблемой.

Сегодня, на сайте hackersblog.org, румынский хакер unu, опубликовал информации и доказательств о том, что обнаружил уязвимость на сайте www.orange.fr

Уязвимость существует из-за недостаточной обработки входных данных. SQL-инъекция позволяет злоумышленнику получить доступ к 245000 учётных записей.

Каждая учетная запись содержит:
1. имя
2. фамилия
3. емайл
4. пароль (в текстовом формате)

ОПИСАНИЕ:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «mosConfig_absolute_path» сценарием imgcaptcha.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Корпорация Microsoft предупреждает об обнаружении серьезной уязвимости в наборе серверов для служб Интернета Internet Information Services (IIS).

Как сообщается в опубликованном на сайте «Майкрософт» бюллетене, проблема связана с расширением WebDAV. Эксплуатируя «брешь», злоумышленники теоретически могут получить несанкционированный доступ к защищенным сетевым ресурсам, требующим аутентификации пользователей.

Не успела компания D-Link объявить обновленное микропрограммное обеспечение для беспроводных маршрутизаторов с функцией защиты от автоматических регистраций (капча), как сразу несколько энтузиастов заметили, что новый критерий защиты делает обладателя такого маршрутизатора еще более уязвимым для похищения паролей доступа.

Тест Тьюринга капча (полностью автоматизированный тест Тьюринга для разделения компьютеров и людей) первоначально предназначен для того, чтобы распознавать пользователя от компьютерной программы. Предполагается, что задача теста (например, ввести цифры и буквы с картинки) вполне по силам человеку, но неразрешима для компьютера.

В новой прошивке для своих беспроводных маршрутизаторов компания D-Link реализовала как раз такой тест, однако из-за ошибки разработчиков страница веб-интерфейса с этим тестом стала самым уязвимым местом в системе безопасности.