Информационный бюллетень Информационное

Вид материала

Содержание

Лаборатория Касперского выпустила патч
Oracle закроет 37 уязвимостей в своих продуктах
Microsoft: 4 критических уязвимости
Cisco закрыла уязвимости
Правовые вопросы иб

Подобный материал:

1 ... 12 13 14 15 16 17 18 19 ... 22

Лаборатория Касперского выпустила патч

Несколько уязвимостей было зафиксировано во многих антивирусных продуктах Лаборатории Касперского, включая ошибки при работе с ActiveX, которые могли повлечь открытие доступа к конфиденциальной информации. Помимо ошибки, позволяющей получить доступ к чужому компьютеру удаленно, были замечены ошибки, которые дают возможность недобросовестным пользователям обойти защиту, изменить привилегии пользования программами и вызвать, тем самым, запрет использования продукта.

Ошибки с ActiveX были вызваны небезопасными методами внедрения технологии в продукт, поэтому сайты, несущие эксплоит, получали доступ к удаленным файлам с правом передачи на анонимный FTP. Однако это случалось, если пользователь заходил на сайт, содержащий эксплоит.

Другие уязвимости, включая ошибку переполнения буфера обмена в некоторых компонентах, включая защиту против хакеров, вызывают повреждение работы памяти, дающее возможность изменить политику привилегий системы и отключить защиту. Эти дыры могли стать преимуществом только для локальных хакеров.

Ошибки обнаружили специалисты по сетевой компьютерной безопасности iDefense, Tipping Point's Zero Day Initiative и сами специалисты Лаборатории Касперского. Апдейты не заставили долго ждать - на сайте производителя антивирусного ПО можно скачать обновления.

www.securitylab.ru

11.04.07 09:06

Oracle закроет 37 уязвимостей в своих продуктах

Oracle сегодня объявила о том, что на следующей неделе будут выпущены 37 исправлений для различных уязвимостей, обнаруженных в программных продуктах компании. Ожидается, что плановый набор патчей будет выпущен 17 апреля.

В компании подчеркивают, что 7 обнаруженных уязвимостей позволяют получить несанкционированный удаленный доступ к продуктам, поэтому данные баги следует закрыть в первую очередь.

Примечательно, что сегодняшнее объявление - второе в истории компании, когда в Oracle назвали точную дату, количество исправлений, а также их характер. Данная практика была перенята у корпорации Microsoft, где анонс исправлений практикуют с конца 2004 года.

Вместе с тем, анонсы Oracle несколько более информативны. Так, если Microsoft называет продукт и критичность бага, то Oracle помимо этих данных также называет и конкретные программные компоненты, подлежащие исправлению.

Ожидается, что на будущей недель 13 исправлений будут выпущены для СУБД Oracle, 5 - для Application Server, 11 - для E-Business Suite, а также 4 исправления для продуктов PeopleSoft и JD Edwards.

www.cybersecurity.ru

11.04.07 12:28

Microsoft: 4 критических уязвимости

Microsoft во второй вторник месяца, 10 апреля, выпустила очередное обновление безопасности. В нём устранены 5 уязвимостей: 4 критических, позволяющих злоумышленнику выполнить на компьютере произвольный код, и одна «важная». Две критических уязвимости относятся к Vista и Vista x64 Edition.

Три уязвимости были обнаружены и закрыты непосредственно в разных версиях Windows, начиная с Windows 2000 SP 4 и заканчивая Windows Server 2003 и Vista, а одна - в бизнес-приложении Content Management Server. Также был выпущен патч для «важной» уязвимости.

В частности, бюллетень MS07-017 относится к критической уязвимости в GDI, которой подвержены все версии Windows, начиная с 2000 SP4 и заканчивая Windows Vista и Windows Vista x64 Edition.

Соответственно, бюллетень MS07-019 относится к критической уязвимости в системе универсальной Plug-n-Play. Уязвимы Windows XP SP2, XP Pro x64 Edition и XP Pro x64 Edition SP2.

Следующая бюллетень - MS07-020 - закрывает уязвимость в Microsoft Agent. Уязвимость помечена как критическая для Windows 2000 SP4 и Windows XP SP2, для остальных систем она является «умеренной», включая семейство Windows Server 2003. Vista не подвержена этой уязвимости.

Последняя из 4-х - MS07-021 - относится к клиент/серверной подсистеме времени выполнения (CSRSS); эта уязвимость является критической для всех систем - от 2000 SP4 до Vista x64.

«Важная» уязвимость описана в бюллетене MS07-022 и относится к Windows 2000 SP4, XP SP2, Windows Server 2003, Windows Server 2003 SP1 и SP2.

После того, как в марте компания пропустила мартовское обновление, в Сети появился эксплоит к критической уязвимости анимированных курсоров (ANI). Это заставило Microsoft выпустить внеочередной пакет патчей неделю назад. Таким образом, нынешнее обновление - второе за месяц. Его можно загрузить со специального раздела сайта, Microsoft.com/security или получить по системе автоматических обновлений.

www.cnews.ru

13.04.07 13:33

Cisco закрыла уязвимости

Cisco в четверг выпустила два обновления безопасности. Одно закрывает ряд уязвимостей в системе Cisco Wireless Control System, а другое – в контроллере WLAN и облегчённых точках доступа Aeronet.

В первом пакете, «cisco-sa-20070412-wlc», говорится, что устранённые «множественные уязвимости могли привести к раскрытию информации, повышению привилегий и несанкционированному доступу». Уязвимы WCS до версии 4.0.96.0.

Второй пакет, «cisco-sa-20070412-wlc», устраняет уязвимости, позволяющие получить несанкционированный доступ к данным, нарушить работу сети и даже перехватить контроль над точкой доступа WLAN. Уязвимы коммутаторы Catalyst, точки доступа Aironet серий 1000 и 1500, а также Wireless LAN Controller, управляющий точками доступа по протоколу LWAPP.

www.cnews.ru

ПРАВОВЫЕ ВОПРОСЫ ИБ