Опубликовано 12 марта, 200917 г вот и вышел патч к Adobe Reader - нажмите "Check for Updates" в нем :smile3: Можно ещё для непиндосоговорящих, коих большинство, добавлять по-русски, for example: "справка"-"проверка обновлений", etc.
Опубликовано 12 марта, 200917 г Автор Можно ещё для непиндосоговорящих, коих большинство, добавлять по-русски, for example: "справка"-"проверка обновлений", etc. Дык у меня Reader на английском. Я уж тогда на нем буду писать - выбрать Help/Check_for_Updates .
Опубликовано 15 апреля, 200917 г Автор вот и пришел очередной "черный вторник" . Пора запускать Microsoft Update или MBSA Анализ SANS-а ---------------------------------------------------------------------- TITLE: Microsoft Windows HTTP Services Multiple Vulnerabilities SECUNIA ADVISORY ID: SA34677 VERIFY ADVISORY: http://secunia.com/advisories/34677/ DESCRIPTION: Some vulnerabilities have been reported in Microsoft Windows, which can be exploited by malicious people to conduct spoofing attacks or compromise a user's system. 1) An integer underflow error in Windows HTTP Services can be exploited to execute arbitrary code via a specially crafted parameter returned by a malicious web server. 2) An error in Windows HTTP Services while validating the distinguished name of a certificate can be exploited to spoof a valid certificate. Successful exploitation requires the ability to perform DNS spoofing attacks. 3) An error in Windows HTTP Services can be exploited to reflect NTLM credentials and execute arbitrary code by tricking a user into connecting to a malicious web server. SOLUTION: Apply patches. Windows 2000 Service Pack 4: http://www.microsoft.com/downloads/details...75-3adac8ac8cb9 Windows XP SP2/SP3: http://www.microsoft.com/downloads/details...e4-9ff45feca1a4 Windows XP Professional x64 Edition (optionally with SP2): http://www.microsoft.com/downloads/details...41-392f4f7b5bbb Windows Server 2003 SP1/SP2: http://www.microsoft.com/downloads/details...45-5eabdb555011 Windows Server 2003 x64 Edition (optionally with SP2): http://www.microsoft.com/downloads/details...9f-4eeda5acc74c Windows Server 2003 with SP1/SP2 for Itanium-based Systems: http://www.microsoft.com/downloads/details...71-285f66a95e01 Windows Vista (optionally with SP1): http://www.microsoft.com/downloads/details...11-d4de8cde4c68 Windows Vista x64 Edition (optionally with SP1): http://www.microsoft.com/downloads/details...cc-d74f91cc5e1f Windows Server 2008 for 32-bit Systems: http://www.microsoft.com/downloads/details...e2-9e0501339548 Windows Server 2008 for x64-based Systems: http://www.microsoft.com/downloads/details...0c-2c4d6792c65c Windows Server 2008 for Itanium-based Systems: http://www.microsoft.com/downloads/details...2d-dff3886bcaac PROVIDED AND/OR DISCOVERED BY: 1) The vendor credits Greg MacManus of iSIGHT Partners Labs. 2) The vendor credits Wan-Teh Chang and Cem Paya of Google. 3) Reported by the vendor. ORIGINAL ADVISORY: MS09-013 (KB960803): http://www.microsoft.com/technet/security/...n/ms09-013.mspx ---------------------------------------------------------------------- TITLE: Microsoft Internet Explorer Multiple Vulnerabilities SECUNIA ADVISORY ID: SA34678 VERIFY ADVISORY: http://secunia.com/advisories/34678/ DESCRIPTION: Some vulnerabilities have been reported in Microsoft Internet Explorer, which can be exploited by malicious people to compromise a user's system. 1) An error in WinINet can be exploited to reflect NTLM credentials and execute arbitrary code. This is related to vulnerability #3 in: SA34677 2) An unspecified error when handling transition errors while navigating between web pages can be exploited to corrupt memory via a specially crafted web page. Successful exploitation may allow execution of arbitrary code. 3) An unspecified error when accessing a deleted or improperly initialised object can be exploited to corrupt memory via a specially crafted web page. Successful exploitation may allow execution of arbitrary code. 4) Another unspecified error when accessing a deleted or improperly initialised object can be exploited to corrupt memory via a specially crafted web page. Successful exploitation may allow execution of arbitrary code. 5) A third unspecified error when accessing a deleted or improperly initialised object can be exploited to corrupt memory via a specially crafted web page. Successful exploitation may allow execution of arbitrary code. SOLUTION: Apply patches. Windows 2000 SP4 with Internet Explorer 5.01 SP4: http://www.microsoft.com/downloads/details...14-50227c9164d1 Windows 2000 SP4 with Internet Explorer 6 SP1: http://www.microsoft.com/downloads/details...a9-c12f9d69b03b Windows XP SP2/SP3 with Internet Explorer 6: http://www.microsoft.com/downloads/details...b1-1079bc738e1b Windows XP Professional x64 Edition (optionally with SP2) with Internet Explorer 6: http://www.microsoft.com/downloads/details...9b-26462b026d86 Windows Server 2003 SP1/SP2 with Internet Explorer 6: http://www.microsoft.com/downloads/details...56-96cb7d52ed86 Windows Server 2003 x64 Edition (optionally with SP2) with Internet Explorer 6: http://www.microsoft.com/downloads/details...26-17b96e16f606 Windows Server 2003 with SP1/SP2 for Itanium-based Systems with Internet Explorer 6: http://www.microsoft.com/downloads/details...72-a2dac17e6157 Windows XP SP2/SP3 with Internet Explorer 7: http://www.microsoft.com/downloads/details...64-676c0a0c9390 Windows XP Professional x64 Edition (optionally with SP2) with Internet Explorer 7: http://www.microsoft.com/downloads/details...d4-24b4abfe6b6c Windows Server 2003 SP1/SP2 with Internet Explorer 7: http://www.microsoft.com/downloads/details...6e-3f5109dd310d Windows Server 2003 x64 Edition (optionally with SP2) with Internet Explorer 7: http://www.microsoft.com/downloads/details...30-d7878a8dc527 Windows Server 2003 with SP1/SP2 for Itanium-based Systems with Internet Explorer 7: http://www.microsoft.com/downloads/details...3d-1575888bfc84 Windows Vista (optionally with SP1) with Internet Explorer 7: http://www.microsoft.com/downloads/details...ef-ade2716d55ac Windows Vista x64 Edition (optionally with SP1) with Internet Explorer 7: http://www.microsoft.com/downloads/details...d8-1470505eb55f Windows Server 2008 for 32-bit Systems with Internet Explorer 7: http://www.microsoft.com/downloads/details...59-b4582a390146 Windows Server 2008 for x64-based Systems with Internet Explorer 7: http://www.microsoft.com/downloads/details...96-6d64225ac01a Windows Server 2008 for Itanium-based Systems with Internet Explorer 7: http://www.microsoft.com/downloads/details...82-0d150618fe7a PROVIDED AND/OR DISCOVERED BY: 1) Reported by the vendor. 2) The vendor credits Michal Zalewski, Google. 3) The vendor credits Ivan Fratric, iSIGHT Partners Labs. 4) The vendor credits Skylined, Google. 5) The vendor credits ADLab, VenusTech. ORIGINAL ADVISORY: MS09-014 (KB963027): http://www.microsoft.com/technet/security/...n/ms09-014.mspx OTHER REFERENCES: SA34677: http://secunia.com/advisories/34677/ TITLE: Microsoft DirectShow MJPEG Decompression Vulnerability SECUNIA ADVISORY ID: SA34665 VERIFY ADVISORY: http://secunia.com/advisories/34665/ DESCRIPTION: A vulnerability has been reported in Microsoft DirectX, which can be exploited by malicious people to potentially compromise a user's system. The vulnerability is caused due to an error when decompressing MJPEG content and can be exploited via a specially crafted MJPEG file. Successful exploitation may allow execution of arbitrary code. SOLUTION: Apply patches. -- DirectX 8.1 -- Windows 2000 SP4: http://www.microsoft.com/downloads/details...4e-3cc6fb47adf6 -- DirectX 9.0 -- Windows 2000 SP4: http://www.microsoft.com/downloads/details...1e-349eae304bc6 Windows XP SP2/SP3: http://www.microsoft.com/downloads/details...aa-2ca3170df8df Windows XP Professional x64 Edition (optionally with SP2): http://www.microsoft.com/downloads/details...b3-76ff725fbb9a Windows Server 2003 SP1/SP2: http://www.microsoft.com/downloads/details...9a-20c428985bfd Windows Server 2003 x64 Edition (optionally with SP2): http://www.microsoft.com/downloads/details...11-6b431fa065f1 Windows Server 2003 with SP1/SP2 for Itanium-based Systems: http://www.microsoft.com/downloads/details...80-6b1fece03b8d PROVIDED AND/OR DISCOVERED BY: The vendor credits Piotr Bania, Kryptos Logic. CHANGELOG: MS09-011 (KB961373): http://www.microsoft.com/technet/security/...n/MS09-011.mspx
Опубликовано 23 апреля, 200917 г Автор вышло очередное обновление FireFox из-за обнаруженных ошибок _ttp://www.securitylab.ru/vulnerability/378183.php Программа: Mozilla Firefox версии до 3.0.9 Опасность: Высокая Наличие эксплоита: Нет Описание: Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести XSS нападение, получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему. 1. Две уязвимости существуют из-за ошибок в browser engine. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе. 2. Две уязвимости существуют из-за ошибок в механизме JavaScript. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе. 3. Уязвимость существует из-за ошибки в "jar:" схеме при обработке URI, используемого для данных с Content-Disposition: attachment. Удаленный пользователь может произвести XSS нападение на сайты, которые позволяют пользователям загружать произвольные данные, передаваемые как "application/java-archive" или "application/x-jar", и полагающиеся на HTTP заголовок "Content-Disposition: attachment" для ограничения потенциально небезопасных данных. 4. Уязвимость существует из-за ошибки при загрузке Adobe Flash файлов посредством схемы "view-source:". Удаленный пользователь может произвести CSRF атаку и просмотреть или записать Local Shared Objects на системе пользователя. 5. Уязвимость существует из-за ошибки при обработке XBL привязок. Злоумышленник может произвести XSS нападение на сайты, позволяющие пользователю добавить таблицы стилей с другого источника. 6. Уязвимость существует из-за ошибок в "XMLHttpRequest" и "XPCNativeWrapper.toString". Удаленный пользователь может обойти политику единства происхождения и выполнить произвольный код на системе с привилегиями chrome. 7. Уязвимость существует из-за ошибки при обработке "SearchForm java script:" URI, когда пользователь производит пустой поиск в специально сформированном плагине. 8. Уязвимость существует из-за ошибки при обработке POST данных, при сохранении внутреннего фрейма страницы в качестве файла в то время, как внешняя страница содержит POST данные, что приведет к отправке POST данных на URL внутреннего фрейма. Удаленный пользователь может получить доступ к потенциально важным данным. 9. Уязвимость существует из-за ошибки при обработке заголовка "Refresh". Удаленный пользователь может произвести XSS нападение. URL производителя: www.mozilla.com/en-US/firefox/ Решение: Установите последнюю версию 3.0.9 с сайта производителя. Источники: * MFSA 2009-14: Crashes with evidence of memory corruption (rv:1.9.0.9) * MFSA 2009-16: jar: scheme ignores the content-disposition: header on the inner URI * MFSA 2009-17: Same-origin violations when Adobe Flash loaded via view-source: scheme * MFSA 2009-18: XSS hazard using third-party stylesheets and XBL bindings * MFSA 2009-19: Same-origin violations in XMLHttpRequest and XPCNativeWrapper.toString * MFSA 2009-20: Malicious search plugins can inject code into arbitrary sites * MFSA 2009-21: POST data sent to wrong site when saving web page with embedded frame * MFSA 2009-22: Firefox allows Refresh header to redirect to java script: URIs
Для публикации сообщений создайте учётную запись или авторизуйтесь