Сейчас обсуждают

[di_con]

Критическая уязвимость в Adobe Flash Player. Исправление пока доступно только для Google Chrome

В Adobe Flash Player найдена критическая уязвимость, позволяющая злоумышленнику выполнить свой код в системе при открытии специально оформленного SWF-файла. Уязвимость присутствует во всех версиях Adobe Flash Player, включая 10.2.152.33 для Windows, MacOS X, Linux и Solaris, 10.2.154.18 для Google Chrome и 10.1.106.16 для Android. Опасность уязвимости повышает наличие рабочего эксплоита и фиксация фактов успешного проведения атак через рассылку почтовых сообщений, к которым приложены XLS-файлы, в которых встроены вредоносные SWF-вставки.

Компания Adobe планирует выпустить обновление только 21 марта. Несмотря на то, что пока не выпущено официальное обновление версии Adobe Flash Player с устранением уязвимости, компания Google уже представила корректирующие выпуски стабильной и бета веток браузера Chrome, в которых поставляется не подверженный уязвимости вариант Flash Player.

Источник

[di_con]

Adobe устраняет уязвимости в Reader и Flash Player

» Спойлер (нажмите, чтобы прочесть) «

Adobe Systems сегодня выпустила исправление для критической уязвимости во Flash Player, которая на уровне библиотек также затрагивает продукты Adobe Reader и Acrobat. Сегодня компания разместила в открытом доступе обновленные версии продуктов, где данная уязвимость уже была устранены. Установка обновленных версий рекомендуется всем пользователям.

В случае использования уязвимости, потенциальный злоумышленник мог обрушить систему или получить над ней полный контроль, говорится в сообщении Adobe. На сегодня в сети зафиксированы случаи использования flash-файлов, встроенных в Microsoft Excel и распространяемых по электронной почте.

Уязвимость затрагивала версии Adobe Flash Player для Windows, MAC OS X , Linux и Solaris. Также она присутствовала в файле authplay.dll, поставляемом с Adobe Reader и Acrobat X (10.0.1) и более ранними версиями 10.x и 9.х. Версии Adobe Reader 9.x для UNIX, Adobe Reader для Android и Adobe Reader и Acrobat 8.x уязвимости не подвержены.

"Резонный вопрос возникает при исследовании уязвимости: зачем пользователю может понадобиться Excel-файл со встроенным роликом Flash, - задается вопросом Роэл Шувенберг, старший антивирусный специалист "Лаборатории Касперского". - Думается, что это как раз тот случай, когда слишком широкая функциональность продукта уже идет во вред".

Впервые проблема была обнаружена в Adobe Flash Player 10.2.152.33 и более ранних версиях для Windows, Solaris и Linux. Также уязвимость была устранена в Flash Player 10.1.106.16 для Android.

Помимо этого, компания сделала доступными версии Reader 9.4.3 и Reader 9.4.2 для Windows и Mac OS. Пользователям Acrobat X 10.x компания рекомендует обновиться до версии Acrobat X 10.0.2.

Источник

[di_con]

В Google Chrome закрыли 6 уязвимостей

» Спойлер (нажмите, чтобы прочесть) «

Выпущено очередное обновление для известного Интернет-обозревателя - до версии 10.0.648.204. Согласно сведениям, опубликованным Google, в пакете содержатся патчи, ликвидирующие шесть опасных изъянов.

Действительно, аналитики компании-производителя отметили все уязвимости, эксплуатацию которых предотвращает вышедшее исправление, высоким уровнем риска. По шкале Google он является третьим по степени опасности из четырех; в эту категорию обычно попадают ошибки, злонамеренное использование которых может привести к раскрытию конфиденциальных данных, вмешательству в параметры безопасности обозревателя и исполнению произвольного кода в защищенной среде (т.е. в "песочнице").

Интернет-издание V3.co.uk отмечает, что все ликвидированные уязвимости были выявлены посторонними исследователями, а не сотрудниками Google. Следуя своей обычной практике, компания назначила вознаграждение за каждый изъян; минимальная сумма выплат составила 500 долларов, максимальная - 2000. Общий объем премиальных в итоге оказался равен 8500 долларам, 7000 из которых достались одному и тому же специалисту - Сергею Глазунову (он обнаружил четыре из шести ошибок безопасности).

Google традиционно позиционирует свой обозреватель как надежный и хорошо защищенный, что не в последнюю очередь достигается за счет поощрения работы исследователей и оперативного выпуска обновлений. Кстати, на последнем соревновании взломщиков Pwn2Own найти и проэксплуатировать изъян в Chrome так никому и не удалось, хотя за обнаружение уязвимости в этом браузере была назначена премия в 20 тыс. долларов.

Предыдущее исправление для обозревателя Google вышло буквально несколько дней назад. Его выпуск был связан с проникновением злоумышленников в систему цифровой сертификации, принадлежащую компании COMODO, итогом чего стало появление девяти ложных удостоверений на имя крупнейших ресурсов Сети. Anti-Malware.ru рассказывал об этом происшествии.

Источник

[di_con]

На сайте McAfee нашли уязвимости

» Спойлер (нажмите, чтобы прочесть) «

Вчера, 28 марта, на страницах исследовательского веб-проекта Full Disclosure было опубликовано сообщение, в котором говорится о наличии ряда опасных изъянов на титульном ресурсе компании - mcafee.com. Честь выявления ошибок безопасности принадлежит хакерам из объединения YGN Ethical Hacker Group.


Сообщается, что уязвимостей на сайте довольно много, и все они могут считаться опасными. В списке возможных последствий их эксплуатации - межсайтовое исполнение сценариев (XSS), раскрытие данных (в том числе, например, исходного кода страниц ресурса) и другие нежелательные события. Необходимо заметить, что в числе прочих потенциальным атакам отчасти подвержен и сектор загрузок программного обеспечения.

Любопытно, что сайт антивирусной компании регулярно проверяется на наличие изъянов и вредоносных закладок ее собственной службой - McAfee Secure. Этот сервис позиционируется как надежная система ежедневного сканирования сайтов, устанавливающая соответствие Интернет-ресурсов самым высоким стандартам безопасности; обновляемый сертификат, который появляется на веб-страницах в случае успешной проверки, свидетельствует (или, по крайней мере, должен свидетельствовать) об отсутствии путей неправомерного доступа к личным сведениям, ссылок на опасные сайты, мошеннических и фишинговых элементов и прочих нежелательных "сюрпризов" от злоумышленников.

Согласно имеющимся сведениям, хакеры обнаружили ошибки безопасности еще в начале февраля, после чего сообщили о своих находках непосредственно в McAfee. Представители компании пообещали тогда, что оперативно разберутся с проблемами - однако сейчас, по прошествии более полутора месяцев, ряд уязвимостей по-прежнему не закрыт. В конечном счете участникам группы YGN не оставалось ничего иного, кроме как заявить о существовании изъянов публично.

В McAfee журналистам Network World сказали, что размещенные на Full Disclosure материалы внимательно изучаются экспертами.

Источник

[di_con]

Обнаружена критическая уязвимость в трех продуктах VMware

» Спойлер (нажмите, чтобы прочесть) «

Крупнейший разработчик программного обеспечения и технологий виртуализации VMware сообщил о критической уязвимости, найденной в трех продуктах, работающих на базе операционной системы Linux.

Дефект был обнаружен в утилите vmrun, с помощью которой осуществляется контроль и управление виртуальной машиной; она работает на любой платформе, где установлены библиотеки VIX.

В случае нестандартной конфигурации системы, как сообщают специалисты в области безопасности компании, уязвимость позволяла атакующему разместить в определенном месте скомпрометированный файл библиотеки, что в результате позволяло ему получить контроль над утилитой.

В связи с этим, всем пользователям VMware Workstation 7.1.2, Workstation 6.5.5 и VIX API 1.10.2 настоятельно рекомендуется установить обновления.

Стоит отметить, что платформы, использующие в качестве хостовой системы ОС Windows, не имеют обозначенного дефекта.

Источник

[di_con]

Adobe работает над критическим исправлением для Flash

» Спойлер (нажмите, чтобы прочесть) «

Едва презентовав накануне новую версию набора программного обеспечения Creative Suite 5.5, компания Adobe заявила о работе над критически важным исправлением для медиа-проигрывателя Flash. В сообщении компании говорится, что злоумышленники уже используют уязвимость в своих целях и пытаются установить через нее злонамеренное программное обеспечение на компьютеры пользователей.

В рамках атаки хакеры рассылают спам, с вложенным файлом Microsoft Word со встроенным специально сконструированным Flash-файлом, включенным в структуру документа. Исполнение данного файла ведет к удаленному скачиванию и установке бэкдора Zolpiq, работающего только под Windows, передает cybersecurity.ru.

По данным Adobe, дополнительная опасность Zolpiq заключается в том, что код данного злонамеренного ПО относительно новый и Zolpiq со всеми модификациями детектирует лишь 1 из 42 антивирусов (данные Virus Total по состоянию на вечер понедельника).

В Adobe пока не говорят, когда именно компания выпустит исправление для Flash. Однако в компании отмечают, что сегодняшняя атака уже вторая, направленная на обход "песочницы", затрудняющей исполнение злонамеренных кодов в продуктах Adobe. Ранее похожая атака была обнаружена в случае с MS Word и Adobe Reader. Тогда злоумышленники встраивали PDF-файлы в текстовые документы Word.

Источник

[di_con]

Dropbox: серьезные уязвимости в системе безопасности

» Спойлер (нажмите, чтобы прочесть) «

Возможно ли устранить уязвимости без потери совместимости, пока неизвестно

В популярном инструменте для синхронизации файлов, одном из лучших на рынке, обнаружена дыра, позволяющая просматривать файлы всем желающим
Обнаруженная уязвимость, к сожалению, влияет на весь механизм работы Dropbox. Утилита использует простой конфигурационный файл для объединения различных устройств в единую синхронизированную среду. Этот файл называется config.db и представляет собой таблицу базы данных, которая содержит всего три поля: email, dropbox_path и host_id. Последнее поле не относится к определенному хосту и не меняется со временем. Злоумышленник, используя вредоносные программы, могут получить файл config.db и без особых проблем подключиться ко всем папкам пользователя. Dropbox не проверяет количество подключенных компьютеров, поэтому жертва может даже не заметить, что ее файлы украдены.

К сожалению, у нас пока нет никаких средств защиты. Если вы подозреваете, что кто-то взломал ваш почтовый ящик, то можете изменить пароль. Здесь же наши возможности ограничены разве что использованием локально зашифрованных файлов, которые будут бесполезны за пределами вашего компьютера.

Источник

[di_con]

Критические уязвимости в Google Chrome, Adobe Flash и VLC

» Спойлер (нажмите, чтобы прочесть) «

Обнаружено несколько опасных уязвимостей:
• Компания Google выпустила обновление web-браузера Google Chrome 10.0.648.205, в котором устранено сразу три критические ошибки, позволяющие организовать выполнение кода злоумышленника в системе, обойдя ограничения sendbox. Все уязвимости найдены в коде процесса, обеспечивающего работу функций GPU-акселерации. Одна из проблем проявляется только на платформе Windows, а вторая найдена по горячим следам сотрудниками Google.
Критический статус уязвимости подразумевает возможность полного обхода всех уровней защиты браузера, что может привести к выполнению кода в системе. Ранее ошибки подобного рода в Google Chrome находили только один раз.

• В Adobe Flash найдена критическая "0-day" уязвимость, позволяющая организовать выполнение кода при открытии специально оформленного SWF-файла или встроенного в документ Flash-блока. В сети зафиксированы факты успешной атаки на машины пользователей, через распространение doc-файлов с интегрированными Flash-объектами (уязвимость также воспроизводится и с PDF-файлами).
Уязвимости подвержены все версии Flash Player до версии 10.2.154.25 включительно, а также варианты Flash Player для мобильных платформ. Несмотря на то, что эксплоит можно найти в открытом доступе, компания Adobe еще не выпустила должных обновлений. Более того, выпуск обновления для подверженного уязвимости Adobe Reader планируется только 14 июня. Несмотря на то, что пока не выпущено официальное обновление от Adobe, компания Google уже представила корректирующие выпуски стабильной и бета веток браузера Chrome, в которых поставляется не подверженный уязвимости вариант Flash Player.

• Вышло обновление медиа-плеера VLC 1.1.9, в котором устранена критическая уязвимость, позволяющая организовать выполнение кода при открытии специально оформленных MP4-файлов.

Источник

[di_con]

Adobe закрыла новый изъян во Flash Player

» Спойлер (нажмите, чтобы прочесть) «

Хронологически последняя уязвимость в популярном проигрывателе Flash-анимации, о выявлении которой Adobe объявила в понедельник, ликвидирована. Срочный патч выпускается компанией уже во второй раз за последний месяц - ввиду активной эксплуатации изъяна злоумышленниками.


Новая сборка Flash Player - 10.2.159.1 - доступна всем пользователям операционных систем Windows, Mac OS, Linux и Solaris. В списке не хватает еще одной позиции - мобильной ОС Google Android; владельцам устройств под ее управлением придется подождать до 25 апреля. Кстати, в эти же сроки будет подготовлено и исправление для продуктов Adobe Reader и Acrobat - в них тоже существует данная ошибка безопасности. Anti-Malware.ru писал об инциденте ранее на текущей неделе.

Эксплойты, атакующие эту уязвимость, вновь имеют вид документов Microsoft Office. Изначально исследователи отмечали распространение вредоносных файлов в Word-совместимых форматах, однако впоследствии ими были обнаружены и опасные книги Excel. Рассылались нежелательные объекты главным образом по электронной почте: в самые первые дни - под видом сведений об антимонопольном законодательстве Китая и о "ядерных вооружениях Японии", а затем - как "планы реорганизации предприятия" или "новые списки контактов компании". Предполагается, что к их созданию могли приложить руку китайские взломщики.

В четверг собственное обновление для борьбы с изъяном выпустила Google - копия Flash Player встроена в ее обозреватель Chrome. Заметим, что заодно с рассматриваемой уязвимостью были закрыты и три собственные ошибки безопасности браузера, существовавшие в механизме аппаратного графического ускорения. Теперь же получить надлежащую защиту могут и пользователи других программ для просмотра страниц Интернета; загрузить последнюю версию проигрывателя можно здесь.

Источник

[di_con]

Adobe опубликовала экстренный патч для Reader и Acrobat

» Спойлер (нажмите, чтобы прочесть) «

Adobe ускорила процесс исправления ошибок в своих продуктах. Сегодня компания сообщила о том, что для Adobe Reader и Acrobat готовы новые версии, в связи с участившимися случаями эксплуатации известной zero-day уязвимости, обнаруженной компоненте Flash Player.

Дефект, посредством которого хакеры могли захватить контроль над атакуемой системой, был идентифицирован как CVE-2011-0611. Согласно специалистам в области безопасности, он заключался в неправильной обработке файла библиотеки authplay.dll компонента Flash, который также имеется и в Adobe Reader и Acrobat.

Как известно, впервые изъян был обнаружен несколько недель назад. Файлы в формате DOC или XLS, содержащие снабженный вредоносным кодом флеш – ролик рассылались посредством электронной почты. Для привлечения внимания пользователей злоумышленники использовали яркие заголовки новостных статей.

В случае открытия файла пользователь получал на свой компьютер вредонос, который проникал через известную брешь в системе безопасности, но при этом внимание пользователя отвлекалось на просмотр открытого документа.

Помимо этого исправлена еще одна ошибка, обнаруженная в библиотеках CoolType, однако случаев ее эксплуатации обнаружено не было.

В патче предусмотрены исправления для следующих версий: Adobe Reader X (10.0.1) и более ранние для ОС Windows, Adobe Reader X (10.0.2) и более ранние для ОС Macintosh и Adobe Acrobat X (10.0.2) для обеих платформ. Специалисты рекомендуют пользователям обновить их версии как можно скорее.

Источник

[di_con]

Обнаружена критическая уязвимость в VLC

» Спойлер (нажмите, чтобы прочесть) «

Обнаружена критическая уязвимость в VLC
Исследователи в области безопасности компании Secunia обнаружили критическую уязвимость в медиа – плеере VLC для операционной системы Windows. В случае ее эксплуатации злоумышленники могут получить доступ и удаленно выполнить вредоносный код на целевой системе.

Ошибка заключается в неправильной работе плагина ModPlug XMMS и может привести к стековому переполнению буфера, вызванного "ошибками в работе функций 'abc_new_macro()' и 'abc_new_umacro() в src/load_abc.cpp", сообщают специалисты. Причем ее эксплуатация возможна при открытии пользователем специально сформированного медиа-файла.

Согласно источнику, дефекты присутствуют в последней модификации программы (VLC 1.1.9
), однако не исключено, что она может проявиться и в более ранних версиях. В этой связи пользователям настоятельно рекомендуется не открывать файлы сомнительного содержания, полученных из непроверенных источников.

Источник

[di_con]

Релиз Adobe Flash Player 10.3 с устранением 11 уязвимостей

» Спойлер (нажмите, чтобы прочесть) «

Компания Adobe выпустила релиз Flash Player 10.3 (10.3.181.14), доступный для платформ Linux, Windows и Mac OS X. Кроме исправлений ошибок и реализации улучшений в новой версии устранено 11 опасных уязвимостей, 5 из которых позволяют организовать выполнение кода при открытии специально оформленного SWF-файла, одна - получить доступ к закрытым данным и еще 5 приводят к повреждению областей памяти с теоретической возможностью выполения кода. Пользователям рекомендуется как можно скорее установить обновление, так как в сети уже встречаются рабочие эксплоиты.

Из добавленных в ветке 10.3 улучшений можно отметить:
Реализован блок настроек для легкого удаления содержимого локального кэша и генерируемых средствами Flash Cookie-идентификаторов, которые могут быть использованы для отслеживания перемещения пользователя в сети. В отличие от традиционных браузерных Cookie, формируемые средствами Flash идентификаторы невозможно удалить традиционными средствами браузера.
Добавлена встроенная панель управления настройками Flash Player, через которую можно управлять параметрами приватности, безопасности и управлять локальным хранилищем. В KDE возможность настройки Flash интегрируется в стандартную панель управления;
В API добавлены функции для централизованного измерения характеристик медиаконтента, позволяющие в режиме реального времени сформировать на сервере SiteCatalyst статистику об особенностях доставки контента, числе загрузок и аудитории;
Расширено API для обработки звука, позволяющее создавать такие системы как голосовой чат, приложения для телефонии и организации телеконференций. Реализованы механизмы акустического гашения эхо, подавления шумов, определения наличия голоса, компенсации уровня громкости при передаче звука с микрофона.
Для платформы Mac OS X добавлена система уведомления о наличии более новых версий Flash Player.

Источник

[di_con]

Уязвимости в VLC, Adobe Flash, Python, Plone и Libxml2

» Спойлер (нажмите, чтобы прочесть) «

Несколько новых уязвимостей:
Вышел релиз медиаплеера VLC 1.1.10, в котором кроме исправления накопившихся ошибок устранена уязвимость в коде xspf-демуксера (ModPlug XMMS Plugin), которая позволяет организовать выполнение кода злоумышленника при открытии специально оформленных плейлистов в формате xspf;

Вышло обновление Adobe Flash Player 10.3.181.22 в котором устранена уязвимость для которой в сети уже были зафиксированы факты успешных атак на пользователей. Уязвимость позволяет организовать выполнение JavaScript-кода в браузере в контексте другого сайта (универсальный межсайтовый скриптинг через Flash).

Вышел корректирующий релиз Python 2.6.7 в котором устранено несколько незначительных уязвимостей: Устранена возможность совершения XSS-атак в модуле SimpleHTTPServer; В urllib и urllib2 добавлено игнорирование перенаправлений, если схема URL отлична от HTTP, HTTPS и FTP (можно было выполнить редирект на локальный файл); Устранена возможность совершения DoS-атаки через smtpd.py;

В hotfix-выпуске системы управления web-контентом Plone 20110531 устранены три уязвимости, среди которых две проблемы позволяют совершить XSS-атаки, а одна проблема дает возможность аутентифицированному пользователю CMS обойти ограничения доступа и отредактировать параметры других пользователей (например, поменять пароль администратора).

В коде обработки наборов узлов XPath в библиотеке Libxml2 найдена опасная уязвимость, позволяющая организовать выполнение кода злоумышленника при обработке специально оформленного XPath-кода в приложении, использующем Libxml2.[/u]

Источник

[di_con]

Критическая уязвимость в Adobe Flash Player

» Спойлер (нажмите, чтобы прочесть) «

Спустя всего несколько дней с момента устранения прошлой уязвимости компания Adobe выпустила внеплановое обновление Flash Player с исправлением очередной критической уязвимости. Проблема может привести к повреждению областей памяти Flash-плагина и запуску кода злоумышленника при обработке специально оформленного контента. В сети уже зафиксированы факты успешной эксплуатации уязвимости и появление Web-страниц, специально оформленных для проведения атаки на пользователей.

Проблеме подвержены все версии Flash Player, включая 10.3.181.23. Проблема устранена в версии 10.3.181.26, которая уже доступна для платформ Windows, Solaris, Mac OS X и Linux. Обновление для платформы Android планируется выпустить до конца текущей недели.

[di_con]

В реализации WebGL из состава Firefox 4 найдена уязвимость

» Спойлер (нажмите, чтобы прочесть) «

В браузере Firefox 4 найдена уязвимость в коде с реализацией спецификации WebGL. По сравнению с ранее представленным прототипом эксплоита для осуществления атаки на WebGL, найденная проблема позволяет атакующему создать в процессе работы браузера скриншот c любым содержимым экрана, а не только с контентом, выводимым с использованием canvas и WebGL. Например, снимок экрана может быть создан в момент, когда отображаются формы с приватной или конфиденциальной информацией.

Обновление Firefox 4 с исправлением накопившихся уязвимостей планируется выпустить 21 июня. До выхода обновления рекомендуется отключить поддержку WebGL в браузере (webgl.disabled в about:config) или обновить браузер до тестовой версии Firefox 5, в котором изначально отключена возможность использования междоменных текстур WebGL.

Источник

[di_con]

Обнаружены многочисленные критические уязвимости в phpMyAdmin

» Спойлер (нажмите, чтобы прочесть) «

Разработчики phpMyAdmin, средства управления базами данных MySQL, выпускают новые версии для двух развиваемых веток - 3.3.10.2 и 3.4.3.1. Причем все предыдущие релизы проекта имеют критичные уязвимости, а именно:

Ошибка в функции Swekey_login(), описанной в файле libraries/auth/swekey/swekey.auth.lib.php. Используя уязвимость, можно перезаписать переменные сессии, а также выполнить собственный PHP-код;

Данные, передаваемые функции PMA_createTargetTables(), описанной в файле libraries/server_synchronize.lib.php, проверяются неполностью перед вызовом функции preg_replace() с модификатором "e". Используя данную уязвимость, можно выполнить собственный PHP-код, переданный в URL через NULL-байт;

Данные, передаваемые функции PMA_displayTableBody(), описанной в файле libraries/display_tbl.lib.php, проверяются неполностью перед их использованием для включения файлов. Таким образом, у злоумышленника появляется возможность включать в текст скрипта любые локальные файлы, сообщает сайт www.linux.org.ru.

В дополнение к вышесказанному были отмечены уязвимости в установочных скриптах, позволяющие выполнять любой PHP-код при перезаписанных переменных сессии.

Источник

[di_con]

критические уязвимости в Facebook и Google Picasa

» Спойлер (нажмите, чтобы прочесть) «

Исследователи в области безопасности корпорации Microsoft обнаружили критические уязвимости в социальной сети Facebook и программе Google Picasa.

Уязвимость в Facebook, была обнаружена в защите компании anti-clickjacking, внедренной ранее в этом году. (clickjacking – способ взлома, при котором злоумышленник размещает скрытую кнопку поверх обычной и пользователь, ничего не подозревая, сам запускает вредоносный скрипт). В настоящее время уязвимость устранена.

Также исследователи Microsoft обнаружили критическую уязвимость, возникающую при обработке Jpeg изображений в Google Picasa. Злоумышленники обманом заставляли пользователя открыть специально сформированное jpeg изображение, при этом запускалось выполнение вредоносного кода и хакеры могли получить на пораженном компьютере те же права, что и локальный пользователь. Об уязвимости сообщили в компанию Google, и в настоящее время уязвимость исправлена.

Источник

Apple исправила 58 уязвимостей в браузере Safari

» Спойлер (нажмите, чтобы прочесть) «

Обозреватель получил обновление до версии 5.1, в которой не только откорректированы ошибки безопасности, но и введен некоторый новый функционал. В частности, под последним выпуском Mac OS X Lion поддерживается технология виртуальной защищенной среды. Отдельное дополнение - 5.0.6 - было также выпущено для пользователей OS X 10.5 (Leopard).


Итак, как уже было сказано, набор патчей призван ликвидировать в общей сложности 58 изъянов. 14 из них выявлены в Windows-версии браузера, один - в Mac-варианте; все остальные актуальны для обеих платформ. Необходимо заметить также, что 47 из 58 уязвимостей сопровождаются фразой о возможном исполнении произвольного кода - так аналитики Apple отмечают наиболее потенциально опасные ошибки безопасности. При этом их эксплуатация не представляла большой сложности для злоумышленников - в большинстве случаев достаточно было просто заставить жертву перейти по вредоносной ссылке.

Основная часть уязвимостей (43 штуки) пришлась на ядро - браузерный движок WebKit с открытым исходным кодом. Напомним, что на его основании построен не только Safari, но и обозреватель Google Chrome. По преимуществу эти изъяны характеризуют механизм работы с памятью - как написали специалисты Apple в сопроводительном документе к обновлению, "в WebKit существовали многочисленные проблемы повреждения памяти". В результате посещение особым образом сформированных веб-страниц могло привести не только к аварйиному завершению приложения, но и к исполнению произвольного кода.

Предыдущее обновление для Safari выходило в апреле; тогда были исправлены всего две уязвимости. Впрочем, месяцем раньше был опубликован не менее крупный пакет, чем нынешний - он был нацелен на корректировку сразу 62 изъянов в программных продуктах Apple. В будущем, возможно, работа с браузером станет безопаснее благодаря защищенной виртуальной среде ("песочнице") и улучшенной системе ASLR, которые появились в последнем выпуске Mac OS X - 10.7.

Источник

[Gavrusha147852]

как удалить свою страницу?

[stell18]

как удалить свою страницу?

Наверное тему дочитал до конца ?

[mvj203]

- Введите номер телефона. Интернет мошенники

Блокировщик поисковиков, как победить?
SMS-вымогатель в виде набора плагинов для браузеров