#370, 14.08.2015
Скандальная неделя
dl // 14.08.15 22:11
Интересная неделя тут внезапно случилась. В понедельник CSO Oracle Мэри Энн Дэвидсон рассказала в корпоративном блоге, как это неправильно искать уязвимости в продуктах Oracle и потребовала от исследователей заниматься реверс инжинирингом, оставив это дело профессионалам из Oracle. После единодушной реакции исследователей компания предпочла удалить эту запись, насладиться которой все еще можно в кэше поисковиков или в WebArchive.
На следующий день пришел черед Cisco, которая признала несколько обнаруженных случаев с заменой IOS ROM Monitor (ROMMON) в маршрутизаторах своего производства. В принципе, ничего особо нового тут не случилось, атака все равно требует физического или удаленного доступа с администраторскими правами, любопытен именно сам факт превращения ранее считавшейся теоретической атаки в реальную.
И вишенкой на торте стала сегодняшняя статья в Reuters, в которой рассказывается о том, что Лаборатория Касперского в течение ряда лет подсовывала своим конкурентам информацию, приводящую к ложным срабатываниям их антивирусных продуктов. В качестве основных мишеней названы Microsoft, AVG и Avast. Факт саботажа подтвердили два бывших сотрудника компании, сам Касперский, естественно, все отрицает.
Источник: WebArchive, Cisco, Reuters
Еще одна уязвимость в Android, на этот раз под угрозой 55% устройств
dl // 11.08.15 00:12
Не успели пользователи получить исправления от уязвимости в Stagefright, как обнаружилась еще одна, затрагивающая все версии, начиная с 4.3. На этот раз проблема в эскалации привилегий из-за ошибки в классе OpenSSLX509Certificate - произвольное приложение может обойти установленные права доступа и выполнить произвольный код с повышенными правами, получить доступ к пользовательским данным, установить еще что-нибудь и т.п.
Конечно, и так-то мало кто следит за тем, куда хотят залезть устанавливаемые из Market приложения, но эта уязвимость позволит обмануть бдительность даже осторожных пользователей. Интересно, насколько усугубит ситуацию сочетание со Stagefright.
Как и в прошлом случае, патч уже готов, но большинство потенциальных жертв его вряд ли получит.
Источник: The Register
Срочное обновление Firefox
dl // 07.08.15 13:45
Mozilla выпустила срочные обновления Firefox 39.0.3 и Firefox ESR 38.1.1, закрывающие уязвимость, уже использующуюся в рекламных баннерах неназванного русского новостного сайта. Уязвимость связана с механизмом разделения контекста JavaScript и встроенным PDF Viewer. Использующая ее атака в первую очередь ориентирована на разработчиков - под Windows ищет конфигурационные файлы subversion, s3browser, Filezilla и еще нескольких популярных ftp-клиентов, под unix - /etc/passwd, .bash_history, .mysql_history, .pgsql_history, .ssh и т.п.
Пользователи, использующие баннерорезалки, скорее всего, не были затронуты.
Источник: Mozilla Security Blog
Первое кривое обновление для Windows 10
dl // 07.08.15 09:58
Microsoft выпустила первое большое кумулятивное обновление для Windows 10 (KB3081424), которое сразу же вызвало проблемы у ряда пользователей. У некоторых (у меня, например) оно в принципе отказывается закачиваться, сообщая об ошибке 0x80004005. Тем, кому повезло меньше, удается частично обновиться, после чего система перезагружается, опять пытается обновиться, опять перезагружается и т.п.
Предположительно проблема заключается в битых пользовательских профилях, оставшихся после обновления с предыдущей версии системы, и исправляется чисткой лишних записей в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, лишний профиль можно определить по ProfileImagePath, ведущему в несуществующий каталог, главное тут - не увлечься). Но лучше все-таки дождаться обновления этого обновления.
Источник: InfoWorld
Microsoft открыла Windows Bridge for iOS
dl // 06.08.15 22:18
Microsoft выложила на GitHub предварительную версию Windows Bridge for iOS - инструмента, обеспечивающего импорт и разработку проектов Objective C в Visual Studio, а также совместимость с iOS API.
В отличие от Xamarin, обеспечивающего кросс-платформенную разработку на C#, идея тут строго противоположная - взять рабочий проект для iOS и сделать из него приложение для Windows 8.1/10. Предполагается, что это ускорит перевод популярных приложений под Windows, с другой же стороны фактически это означает, что Microsoft своими руками устраивает конкуренцию своим же средствам разработки.
Аналогичный проект Windows Bridge for Android пока доступен только по приглашениям и после выхода сделает ситуацию еще запутанней.
Источник: The Verge
Самые популярные темы форума за последнюю неделю:
[site updates] Еще одна уязвимость в Android, на этот раз под угрозой 55% устройств [43]
[site updates] Августовские обновления от MS [32]
[site updates] Скандальная неделя [1]
Самые обсуждаемые темы форума за последнюю неделю:
[site updates] Еще одна уязвимость в Android, на этот раз под угрозой 55% устройств
[site updates] Августовские обновления от MS
[site updates] Скандальная неделя
Комментариев нет:
Отправить комментарий