Анонс:

Новые мелодии в кнопочной версии для телефонов:

Alcatel, Nokia, Ericsson, Siemens, Motorola,
Panasonic, Sony, Samsung, Philips

• Era - Ameno

• Mission Impossible 2

• Britney Spears - Oops! I Did It Again

• Britney Spears - Sometimes

• Britney Spears - Сrazy

{ Подробнее
http://www.alliance.com.ua/melodie/main.htm }

 

       

Новости:

Microsoft выпускает патчи против нескольких "критических" уязвимостей в IE, XML Core Services 2.6, SQL Server и Commerce Server

Microsoft выпустил патчи против серьезных уязвимостей, обнаруженных в интернет-программах корпорации, а именно в браузере Internet Explorer и XML Core Services 2.6. Позднее выяснилось, что аналогичные проблемы присущи Microsoft SQL Server и Commerce Server 2000. Microsoft рекомендует пользователям скачать и установить эти патчи немедленно, поскольку уязвимости очень серьезные. Тем более, что Internet Explorer поставляется со всеми операционными системами Windows, а XML Core Services - вместе с Windows XP.

Проблемы с Internet Explorer

У скриптов Visual Basic (VBScripts) в IE есть возможность, активизировавшись в одном фрейме браузера, считывать информацию из других фреймов. Поэтому хакер может заманить пользователя на особую веб-страницу или послать ему html-письмо, и благодаря этому либо увидеть (и только увидеть) все, что находится на жестком диске у жертвы, либо просматривать вместе с ничего не подозревающим пользователем все посещаемые им веб-страницы. Во втором случае в распоряжении хакера могут оказаться номера кредитных карт и другая важная информация.

Уязвимость характерна для версий 5.01 SP2, 5.5 SP1, 5.5 SP2 и 6.0.

Патч можно скачать здесь.

Уязвимость в The XML Core Services

XML Core Services 2.6 поставляются вместе с Internet Explorer 6.0, SQL Server 2000 и наличествует во всех версиях Windows XP. Эта программа подвержена аналогичной, что и Internet Explorer, уязвимости, и хакер так же может считывать информацию с винчестера пользователя.

Дыра обнаружена в управляющем элементе Active X - XMLHTTP, который позволяет отправлять и получать XML-данные через протокол HTTP.

В XMLHTTP не производится должная проверка установок безопасности для некоторых запросов, посылаемых веб-страницами, так что хакер теоретически может через веб-страницу считывать какие-либо данные с жесткого диска пользователя. Правда пользователя все-таки придется заманить на нужную веб-страницу, поскольку html-письмом тут не обойдешься. Что важно, комбинация уязвимости в IE и XMLHTTP, в принципе, может позволить хакеру узнать полный путь к любому файлу на чужом компьютере, который ему может понадобиться, и прочитать его.

Патч можно найти здесь.

Уязвимость в Commerce Server

Дыра в Commerce Server 2000 носит принципиально иной характер. Из-за нее хакер может устроить DoS-атаку или даже запустить на сервере любую программу. При том, что Commerce Server сам по себе создан на базе IIS, сам Internet Information Server этой уязвимости не подвержен.

Проблемной является один из стандартных программ Commerce Server - AuthFilter, которая выполняет некоторые аутентификационные процедуры. Злоумышленник, "скормив" программе определенную информацию, может устроить переполнение ее буфера или заставить ее саму запустить какую-нибудь свою программу. Поскольку процедуры, выполняемые AuthFilter имеют высокий приоритет, хакер может получить полный контроль над сервером, а в некоторых случаях - и над всей сетью, подключенной к нему, в зависимости от степени доступности Commerce Server.

Патч - здесь.

Подверженность DoS-атакам SQL Server

Уязвимость SQL Server 7.0 и 2000 оставляет их уязвимыми для DoS-атак. Хакер может послать на этот сервер определенным образом сконфигурированный запрос к базе данных через веб-сайт или попытаться загрузить его прямо на сервере. Переполнение буфера или обрушит сервер, или предоставит возможность злоумышленнику запустить свою программу с таким же системным приоритетом, как у самого сервера. Впрочем, эту уязвимость можно использовать не всегда, все зависит от конфигурации сервера.

Тем не менее пропатчить обе версии будет не лишним. Патч для SQL Server 7.0 можно скачать
здесь, а для SQL Server 2000 - здесь.

Copyright (C) www.Compulenta.ru

Выпущен очередной патч для интернет-пейджера Windows Messenger

Компания Microsoft выпустила очередное обновление для интернет-пейджера Windows Messenger. Данный патч не решает критически важных проблем в средстве обмена мгновенными сообщениями - исправлены только ошибки, не отражающиеся на стабильности работы программы. Кроме исправленных ошибок, данное обновление отлючает некоторые звуки, проигрывающиеся при приходе сообщения и других действиях.

Кроме вышеуказанных исправлений, данный патч даст возможность пользователям встроенной службы IP-телефонии Voice.NET получить доступ к службе, находясь в локальной сети. При некоторых обстоятельствах в текущей версии программы доступ к IP-телефонии невозможен. Загрузить обновление для Windows Messenger можно здесь.

Copyright (C) www.Compulenta.ru

Выпущен патч для Windows 2000/XP, решающий проблему с уязвимостью в протоколе SMTP

Компания Microsoft выпустила патч для операционных систем Windows 2000 и XP, решающий проблему с уязвимостью, обнаруженной ранее в протоколе SMTP. Уязвимость может быть задействована путем отправки на SMTP-сервер специально составленной команды, что, в результате, приводит к сбою в работе системы. Таким образом, данную уязвимость можно использовать для провдения DoS-атак.

Загрузка и установка данного патча должна предотвратить возможность использования данной уязвимости. Интересным фактом является то, что патч для Windows 2000 представлен как часть Windows 2000 Service Pack 3, на основе чего можно сделать вывод о том, что SP3 для этой ОС будет выпущен уже в ближайшее время. Скачать патч для Windows 2000 можно здесь, для Windows XP - здесь.

Copyright (C) www.Compulenta.ru

CERT: российскими программистами выявлена серьезная уязвимость MSIE

Инициативная группа Computer Emergency Response Team (CERT) объявила об обнаружении очередной системной уязвимости браузера Internet Explorer. Характерной особенностью нового бага является то, что честь его выявления принадлежит не самой корпорации Microsoft, озаботившейся в минувшем феврале проблемой безопасности собственных приложений, а группой экспертов по сетевой безопасности, объединивших свои усилия в рамках сетевого проекта Security.NNov, как следует из его названия, физически размещающегося в Нижнем Новгороде.

Обнаруженная системная уязвимость позволяет хакерам использовать ошибку переполнения буфера при обработке браузером встроенных (embedded) объектов в HTML-документах. Как известно, тэг EMBED используется в последних спецификациях HTML для включения в код внешних объектов, в числе которых Java-апплеты и элементы ActiveX. Атрибут SRC данного тэга, призванный указывать конкретный сетевой адрес исполняемого файла, как удалось выяснить экспертам Security.NNov, обрабатывается браузером некорректно.

Это означает, что определенные возможности использования данного атрибута позволяют составить такой код HTML-файла или почтового письма, исполнение которого вызовет переполнение буфера и исполнение кода приложения с правами администартора.

Корпорация Microsoft уже представила программу-заплатку, позволяющую избавиться от обнаруженной уязвимости. Комментарии CERT по поводу данной системной ошибки также доступны в Сети.

Источник: CNews.ru

Вирусная система раннего предупреждения

Как сообщает Korea Herald, Министерство информации и коммуникаций Кореи планирует создать систему раннего предупреждения для обнаружения попыток сетевых атак и компьютерных вирусов, которая позволит снизить ущерб от вторжений. Отмечается, что функционировать "в полную силу" система начнет в первой половине 2002 года, причем, к сотрудничеству привлекаются не только провайдеры интернет-услуг, но и разработчики антивирусных вакцин. Прототип сети, как отмечается, будет проходить стадию тестирования с марта.

Copyright (C) www.Compulenta.ru

Хакер Адриан Ламо взломал сеть компании New York Times

Как сообщается на сайте компании SecurityFocus, хакер Адриан Ламо обнаружил массу уязвимостей в системе сетевой безопасности компании New York Times, позволившей ему проникнуть во внутреннюю сеть компании и получить доступ к личным данным сотрудников издания.

Как сообщает Адриан Ламо, для того, чтобы найти слабое место в защите внутренней сети компании, ему понадобилось всего две минуты. "На первом же сервере, найденном мной работал открытый прокси-сервер", - заявил 21-летний хакер-альтруист. Проникнув во внутреннюю сеть, хакеру удалось найти уязвимости в системе разграничения доступа, благодаря чему он смог просмотреть документы и базы данных с личной информацией работников компании. Адриан Ламо, без особых затруднений, получил доступ к номерам социальной страховки сотрудников, номера и пароли прямого модемного доступа во внутреннюю сеть, использующегося для публикации статей на сайте компании и многое другое.

Самой "ценнной добычей" для хакера стал список более чем 3 тысяч человек, публиковавших в газете The New York Times свои статьи, а также их личные данные. Ламо получил информацию о многих государственных чиновниках, в том числе на бывшего инспектора по вооружениями Ричарда Батлера, бывшего госсекретаря Джеймса Баркера и других.

Как и во всех других случаях проникновения на "чужую территорию", Адриан Ламо дал представителям New York Times информацию об обнаруженных им уязвимостях. В компании заявили, что "проводится расследование на предмет наличия прорех в безопасности компьютерных систем компании". "На основе результатов расследования мы примем необходимые меры для улучшения безопасности нашей сети", - заявил представитель New York Times.

Copyright (C) www.Compulenta.ru

Спонсор. Новости от http://shop.strip.ru НОВЫЕ МОДЕЛИ ЭРОТИЧНОГО БЕЛЬЯ
Новые модели белья обязательно порадуют Вас и Вашу подругу! Обновилась серия модных сейчас леопардовых моделей, а также добавлены любимые всеми сетевые боди-комбинезоны.

Обновлен сервер "Проекта - Alliance.com.ua"

Последние новости каждый час на нашем сайте www.alliance.com.ua :)

Весь архив рассылки на CityCat