Блог о технологиях, технократии и методиках борьбы с граблями
На днях, на проводившейся в Лас-Вегасе конференции Black Hat, известный разработчик Dino Dai Zovi, являющийся также автором книги “The Mac Hacker’s Handbook”, предоставил данные о найденной им уязвимости в ядре операционной системы MAC OS X, которая позволит атакующей стороне получить такой же доступ к системе, как и при многих атаках на системы Windows.
“Нет никакой магической пыли, защищающей систему Mac”- заявил он в своем интервью.
ISC BIND 9 содержит уязвимость, дающую возможность удаленному злоумышленнику создать и использовать выражение, приводящее к отказу в работе сервиса. В данный момент в публичных сетях доступен эксплоит реализующий эту уязвимость.
Компания Microsoft, сегодня, опубликовала бюллетень MS09-034 с патчем для безопасности, устраняющем критическую уязвимость в браузере Internet Explorer, начиная с версии 5.01 вплоть до последней 8.
Уязвимость предоставляет возможность, через специально сконфигурированную веб страницу, выполнить произвольный код на машине пользователя, зашедшего на неё через браузер Internet Explorer.
Также это обновление устраняет несколько уязвимостей обработки объектов, которые могли привести к сбою памяти таким образом, чтобы выполнить произвольный код с правами пользователя актуальной сессии.,
Для нового, только что запущенного проекта, посвященного прочтенным книгам, под незатейливым названием Что Читать?, озадачился темой создания алфавитного списка.
Сам движок крутится под CMS Drupal версии 6.Х. Для предыдущей пятерки имелся модуль views_alpha_pager, но для новой версии он пока что не доступен. Пошерстив инет, понял, что все можно организовать на модуле view2, доступном на сайте друпала.
Вчера ночью, заводя записи в свой новый проект о новых и старых книгах, крутящийся под CMS Drupal, столкнулся с интересной темой- при посте что то сбоило в движке и на “сохранить” я получал дважды надпись, гласящую что документ не доступен. После этого в node появились несколько постов статуса n/a, причем линки на них отсутствовали и в консоли управления, в списке постов они не значились.
(more…)
После установки 7го IE обнаружил интересную особенность (точнее сейчас вспомнил о ней, после установки 8й версии, т.к грабли повторились) – при установленной на максимально высоком уровне политике безопасности (бегунок в крайнем верхнем положении) в “свойствах обозревателя” Firefox перестает скачивать какие либо файлы- исполняемые, или картинки-фильмы, выдавая сообщение в менеджере загрузок: “загрузка была заблокирована вашей политикой зоны безопасности”.
В этом связи все лечиться либо настройкой собственной политики, где выставить параметры загрузки исполняемых файлов в положение предлагать (Другой -> Разное -> Запуск программ и небезопасных файлов -> Предлагать) и (Другой -> Загрузка-> Загрузка файлов -> Включить) оно же на иностранном языке (Launching applications and unsafe files в положение Prompt (Recommended)), либо простым передвижение бегунка политики безопасности, на уровень вниз.
На офф.форуме советуют, в случае если не заработаю первые два решения, подправить реестр:
1) Загружаем редактирование реестра
2) Заходим в ветки HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
3) Находим в них параметр 1806
4) Изменяем значение с имеющегося на 0
Пока кропил статейку про ISS, на трекере обнаружил, что на той неделе нашли дырку в Firefox 3.5 отмеченную “высокой критичностью”. Суть ошибки заключается в том, что обработка длинных выражений, переданных в unicod, может привести к переполнению буфера удаленной машины, и либо накернить приложение, либо предоставить возможность выполнения произвольного кода.
Вот так вот- не успели анонсировать, и уже такая не приятная дырка, хотя если верить обзору с , то данной уязвимости подвержена вся ветка, начиная с 3.0.
Хотя сами разработчики открещиваются в своем , от выполнения произвольного кода и костерят по чем зря IBM и , списывая все на их косяки.
Интересно конечно, кто более прав, но больше похоже на то, что мозилла пытается откреститься по российской традиции- сам дурак.
