Опубликовано 30 апреля, 200917 г Автор и снова надо обновлять Firefox -вышло обновление 3.0.10 :smile3:
Опубликовано 1 мая, 200917 г Автор тем, кто еще не отключил поддержку Javascript в Adobe Reader нужно это срочно сделать - появился очередной публично доступный эксплойт, а обновления еще нет... CRITICAL: Adobe Reader JavaScript Handling Remote Code Execution Affected: Adobe Acrobat Reader versions 9.1 and prior Description: Adobe Acrobat Reader is Adobe's viewer for the Portable Document Format (PDF). It is the de facto standard PDF viewer for many platforms. It contains a flaw in its handling of JavaScript scripts embedded in PDF documents. A specially crafted document containing a malicious script could exploit this vulnerability, and leverage it to execute arbitrary code with the privileges of the current user. PDF documents are often opened upon receipt without first prompting the user. A proof-of-concept for this vulnerability is publicly available and it is believed that this vulnerability is being exploited in the wild. Status: Vendor confirmed, no updates available. Users are advised to disable JavaScript processing in PDF documents, if possible. References: Vendor Home Page http://www.adobe.com/ Proof-of-Concept http://downloads.securityfocus.com/vulnera...loits/34740.txt SecurityFocus BID http://www.securityfocus.com/bid/34740
Опубликовано 2 мая, 200917 г MS Office 2007 обновился на днях до SP2. Там много всего, но для юзера, на мой взгляд главное то, что теперь программы из этого пакета могут сохранять документы в формате pdf и в odt
Опубликовано 13 мая, 200917 г Автор Пришло время запустить Microsoft Update или MBSA - надо обновить Windows. Там, правда, всего PowerPoint обновляется, но все же. Плюс надо запустить проверку обновлений в Adobe Reader - они наконец исправили уязвимость. ---------------------------------------------------------------------- TITLE: Microsoft PowerPoint Multiple Vulnerabilities SECUNIA ADVISORY ID: SA32428 VERIFY ADVISORY: http://secunia.com/advisories/32428/ DESCRIPTION: Multiple vulnerabilities have been reported in Microsoft PowerPoint, which can be exploited by malicious people to compromise a user's system. 1) Two boundary errors when processing certain atoms can be exploited to cause stack-based buffer overflows via a specially crafted PowerPoint file. 2) An error when parsing paragraph formatting data can be exploited to corrupt memory via a specially crafted PowerPoint 4.0 file. 3) An integer overflow error when parsing invalid record types can be exploited to corrupt memory via a specially crafted PowerPoint file. 4) An error when parsing list records can be exploited to corrupt memory via a specially crafted PowerPoint file. 5) An error when parsing certain malformed structure values can be exploited to corrupt memory via a specially crafted PowerPoint file. 6) Multiple errors when parsing sound data can be exploited to corrupt memory via specially crafted PowerPoint 4.0 and 95 files. Successful exploitation of the vulnerabilities allows execution of arbitrary code. SOLUTION: Apply patches. Microsoft Office PowerPoint 2000 SP3: http://www.microsoft.com/downloads/details...ac-7a756aa67894 Microsoft Office PowerPoint 2002 SP3: http://www.microsoft.com/downloads/details...6e-107f1af67f49 Microsoft Office PowerPoint 2003 SP3: http://www.microsoft.com/downloads/details...5d-c880ba36b106 Microsoft Office PowerPoint 2007 SP1: http://www.microsoft.com/downloads/details...9c-3dc55d0f9834 Microsoft Office PowerPoint 2007 SP2: http://www.microsoft.com/downloads/details...9c-3dc55d0f9834 Microsoft Office 2004 for Mac: According to the vendor, patches are still in development and will be released at a later stage. Microsoft Office 2008 for Mac: According to the vendor, patches are still in development and will be released at a later stage. Open XML File Format Converter for Mac: According to the vendor, patches are still in development and will be released at a later stage. PowerPoint Viewer 2003: http://www.microsoft.com/downloads/details...bb-117391e083e0 PowerPoint Viewer 2007 SP1/SP2: http://www.microsoft.com/downloads/details...e4-d2f2d8940d9c Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats SP1: http://www.microsoft.com/downloads/details...60-250803a80e2a Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats SP2: http://www.microsoft.com/downloads/details...60-250803a80e2a Microsoft Works 8.5: According to the vendor, patches are still in development and will be released at a later stage. Microsoft Works 9.0: According to the vendor, patches are still in development and will be released at a later stage. PROVIDED AND/OR DISCOVERED BY: 1) Carsten Eiram, Secunia Research. 2) The vendor credits an anonymous person via VeriSign iDefense Labs. 3) The vendor credits Sean Larsson, VeriSign iDefense Labs. 4) The vendor credits Sean Larsson, VeriSign iDefense Labs. 5) The vendor credits Ling and Wushi, team509 via ZDI and Sean Larsson, VeriSign iDefense Labs. 6) The vendor credits: * Marsu Pilami, VeriSign iDefense Labs. * Nicolas Joly, Vupen. * An anonymous person via VeriSign iDefense Labs. ORIGINAL ADVISORY: MS09-017 (KB957781, KB957784, KB957789, KB957790, KB967340, KB969615, KB969618, KB970059): http://www.microsoft.com/technet/security/...n/MS09-017.mspx Secunia Research: http://secunia.com/secunia_research/2008-46/ ---------------------------------
Опубликовано 1 июня, 200917 г Автор _ttp://www.securitylab.ru/news/380518.php Microsoft выпустила бюллетень безопасности для уязвимости «нулевого дня» в DirectShow. Уязвимость существует из-за ошибки в QuickTime Movie Parser Filter (quartz.dll) при обработке QuickTime файлов. Уязвимые системы Уязвимость существует в Microsoft DirectX 7.0, 8.1, 9.0, 9.0a, 9.0b и 9.0c на платформах Microsoft Windows 2000, XP и 2003. Windows Vista, Windows Server 2008 и более поздние версии Windows не подвержены этой уязвимости, так как на этих системах отсутствует уязвимый компонент. На уязвимости не влияет наличие Apple QuickTime на системе. Возможные векторы атаки Злоумышленник может с помощью Web сайта заставить браузер пользователя использовать плагин для просмотра специально сформированных QuickTime файлов, и таким образом, получить возможность эксплуатации уязвимости в библиотеке quartz.dll. Внимание, атака может быть произведена с помощью любого браузера, не только Internet explorer. Также, злоумышленник может обманом заставить пользователя проиграть специально сформированный файл в Windows Media Player и воспользоваться уязвимостью. Варианты защиты Microsoft рекомендует следующие временные решения:
Для публикации сообщений создайте учётную запись или авторизуйтесь