В IE7 нашли первую дыру Компания Secunia сообщила об обнаружении первой дыры в браузере Internet Explorer 7 для Windows XP SP2. Уязвимость получила невысокий рейтинг опасности (два пункта по пятибалльной шкале), однако присутствие уязвимости в только что выпущенном продукте не может не настораживать.
Уязвимость позволяет злоумышленникам получить доступ к конфиденциальной информации. Для этого злоумышленнику нужно заманить пользователя на специально созданную веб-страницу. Если при этом в браузере открыт другой сайт, злоумышленник может получить доступ к содержащейся на нем информации, даже если сайт использует защищенное соединение. Эту дыру вполне могут взять на вооружение фишеры.
Интересно заметить, что после установки Internet Explorer 7 на компьютер с Windows XP SP2, служба автоматических обновлений заново скачивает четыре патча: один для Internet Explorer и три - для Windows XP. Однако дыра, обнаруженная Secunia, этими заплатками не устраняется.
Oracle устранила более ста уязвимостей
Корпорация Oracle выпустила ежеквартальную серию заплаток для своих программных продуктов.
За три месяца, прошедшие с момента выхода предыдущего набора патчей, в продуктах компании были выявлены более ста дыр. Для сравнения, прошлый ежеквартальный апдейт включал заплатки для 40 уязвимостей.
На этот раз большая часть дыр (63 уязвимости) найдены в базах данных Oracle. В сервере приложений Application Server устранены 14 уязвимостей. Еще 13 заплаток следует установить пользователям системы управления взаимоотношениями с клиентами E-Business Suite. В пакетах PeopleSoft Enterprise PeopleTools и PeopleSoft Enterprise Portal Solutions найдены восемь дыр. Наконец, компания выпустила по одному патчу для продуктов Oracle Pharmaceutical Applications, JD Edwards EnterpriseOne Tools и JD Edwards OneWorld Tools.
Многие из дыр представляют высокую опасность. Так, по крайней мере, половина уязвимостей, выявленных в Oracle Database, может использоваться злоумышленниками с целью получения несанкционированного доступа к удаленным компьютерам. Критически опасные дыры также присутствуют в пакете E-Business Suite и разработках PeopleSoft.
Компания Oracle настоятельно рекомендует своим клиентам инсталлировать патчи для уязвимых продуктов при первой возможности. Следующая серия заплаток должна быть выпущена 16 января.
Очередная дыра в Vista
Хакер может отправить сообщение, содержащие ссылку, при клике на которую на компьютере
жертвы без ошибок и предупреждений запустится приложение. Эта ошибка найдена
в Windows Mail, которая пришла на замену Outlook Express с появлением Windows Vista.
Microsoft изучает проблему: "Самый лучший способ защититься - быть осторожным
со ссылками с неизвестных и известных адресов."
В зависимости от того, что будет по ссылке, хакер может отдавать команды Windows Mail,
и они будут исполняться на комьютере жертвы. Дэйв Маркус (Dave Marcus) исследователь
и менеджер по связи McAfee заявил: "Теоритически, хакер может много чего сделать. Он
может отдать совершенно любую команду системе."
Однако, ошибка не такая серьёзная из-за того, что Vista на сегодняшний день не очень широко распостранена.
"Я не думаю что они найдут много способов применить эту ошибку, так как Vista установлена далеко не у всех.
Я думаю Microsoft вплотную займутся такого рода вещами для следующего патча."
Со дня появления Vista на прилавках Microsoft выпустила одно обновление, связанное
с критической уязвимостью в Windows Defender, встроенной anti-spyware программой.
Microsoft не боится каких-либо атак на их новую ОС. Тем уязвимость стала известна и
Microsoft в ближайшее время выпустит заплатку или даст какие-нибудь инструкции пользователям,
сказал представитель корпорации.
Вот опять про IE
Появился эксплойт для дыры в Internet Explorer
Во Всемирной сети появился эксплойт для дыры в браузере Internet Explorer, позволяющий выполнить произвольные деструктивные операции на компьютере жертвы.
Вредоносный код, опубликованный на сайте Milw0rm.com, использует дыру в IE, обнаруженную еще летом прошлого года. Брешь была выявлена экспертом по вопросам сетевой безопасности под ником HD Moore в июле, и тогда же появился пример кода, при помощи которого можно спровоцировать аварийное завершение работы браузера.
Спустя полгода после обнаружения уязвимости корпорация Microsoft, наконец, выпустила для нее заплатку. Однако, в компании Websense отмечают, что в связи с появлением нового эксплойта вероятность проведения злоумышленниками атак через дыру может сильно возрасти.
Опубликованный вредоносный код позволяет осуществить нападение на компьютеры, владельцы которых используют браузер Internet Explorer шестой версии. Для пользователей Internet Explorer 7 эксплойт опасности не представляет. Однако, по мнению специалистов компании eEye Digital Security, занимающейся вопросами компьютерной безопасности, появление универсального эксплойта - это лишь вопрос времени. Поэтому пользователям настоятельно рекомендуется инсталлировать патчи, выпущенные корпорацией Microsoft.