uinC NewsLetter #46, 2009


Приветствуем!

Новости из Security Мира

9/11/2009 09:27 Датские борцы с пиратством отказались преследовать любителей файлообмена
Antipiratgruppen, датская организация по борьбе с пиратством, объявила о прекращении преследования пользователей файлообменников, пишет TorrentFreak. В организации объяснили свое решение неспособностью собрать веские доказательства виновности подозреваемых в нарушении авторских прав. В прошлом году Antipiratgruppen проиграла четыре судебных разбирательства в Верховном суде страны. Согласно судебному решению, без поимки на месте преступления, либо признания нарушителя дело не может быть возбуждено. Так как поймать на месте преступления пирата невозможно, соответствующие разбирательства вряд ли будут иметь место в будущем. Более того, по мнению членов организации, новые правила сбора доказательств делают практически невозможной идентификацию нарушителя. В недавнем отчете министерства культуры Дании говорится, что IP-адреса, которые ранее выступали в качестве основного указателя на пользователя, дают возможность определить лишь подписчика на услугу доступа в интернет, но никак не нарушителя.
Подробнее

9/11/2009 10:32 Apple обеспокоилась вопросами взлома iPhone
Apple ищет специалиста по вопросам безопасности, который смог бы реализовать максимальную защиту iPhone от взлома. Речь в основном идет о защите от джейлбрекинга (открывает путь к установке абсолютно любых приложений) и снятия привязки к оператору (iPhone будет работать в любых GSM-сетях). На корпоративном сайте Apple появилась вакансия специалиста по вопросам безопасности операционной платформы iPhone OS, «который смог бы возглавить команду разработчиков, чья деятельность будет нацелена на реализацию защищенной загрузки и установки операционной системы, разделение и укрепление защиты ее внутренних зон безопасности, криптографических служб, а также анализ рисков угроз безопасности». Ищет ли Apple человека на совершенно новую должность либо пытается найти замену прежнему сотруднику — не уточняется. По мнению Apple, «движение за освобождение» iPhone от установленных ограничений способно привести к ряду проблем в организациях, сотрудники которых активно используют смартфон, несмотря на отсутствие в нем корпоративных стандартов безопасности и информационного управления. Прошедший процедуру джейлбрекинга iPhone становится фактически «черной дырой», куда попадают абсолютно любые приложения, потенциально способные нанести вред, например, корпоративным данным и почтовым серверам Microsoft Exchange. А снятие привязки к оператору, в том числе AT&T, вызывает сложности в отслеживании, контроле и оптимизации стоимости беспроводного доступа, что может послужить поводом для возбуждения судебных исков к организациям. 4 октября сообщество «серых» iPhone получило новый импульс благодаря выходу бесплатной утилиты Blacksn0w, разработанной двадцатилетним iPhone-гуру Джорджем Хотцем (George Hotz), более известным под псевдонимом Geohot. Его программа позволяет разблокировать iPhone, снабженный последней версией операционной платформы iPhone OS 3.1.2 и модемной «прошивкой» 05.11.07. Тем временем Apple пошла на серьезный шаг, обновив аппаратную программу начальной загрузки (Boot ROM) в новых партиях смартфона iPhone 3GS и закрыв прежние уязвимости, позволявшие воспользоваться джейлбрекингом.
Источник

9/11/2009 10:55 Вирус превращает владельца ПК в распространителя порнографии
Вредоносные программы, используемые злоумышленниками для воровства номеров кредитных карт, могут довести ничего не подозревающих владельцев зараженного компьютера до тюрьмы, сообщает Associated Press. Мошенники научились использовать зараженные вирусом компьютеры для удаленного сбора, хранения и просмотра порнографических изображений, не опасаясь быть пойманными. В последние месяцы в судах США и Великобритании нескольким гражданам были предъявлены обвинения в хранении детской порнографии, поскольку на их машинах были обнаружены соответствующие файлы. Доказать свою невиновность удалось не всем владельцам ПК.
Подробности

9/11/2009 11:32 Cisco проведет road show в России
Cisco анонсировала архитектуру "сетей без границ" (Cisco Borderless Networks Arhitecture), сообщили iToday.ru. Архитектура объединяет технологии Cisco для маршрутизации, коммутации, беспроводной связи и безопасности в единой тесно интегрированной сетевой инфраструктуре. Первым элементом новой архитектуры стало семейство маршрутизаторов Cisco с интегрированными сервисами второго поколения Integrated Services Router Generation 2, или ISR G2. В ноябре эти продукты будут представлены российским партнерам и заказчикам Cisco в рамках семинаров, которые пройдут в Москве и Санкт-Петербурге. Road show стартует в Москве 16 ноября. 18 ноября специалисты Cisco посетят Санкт-Петербург.
Источник

9/11/2009 12:04 Пиринговый форум MSK-IX
Пятый ежегодный Пиринговый форум MSK-IX состоится 3 декабря 2009 г. в конференц-зале Экспоцентра на Красной Пресне. Форум организуется Московским Internet Exchange. Основные темы программы - технология и экономика взаимодействия интернет-сетей, операторские сервисы, прогнозы рынка телекоммуникаций. Программные выступления, интерактивное общение и неформальный обмен мнениями ведущих экспертов, менеджеров и технических специалистов отрасли станут хорошим стимулом для развития личных контактов и появления новых проектов в интернет-сообществе. Для участия в форуме необходимо зарегистрироваться. Участие в форуме бесплатное. Для каждой организации - участника IX зарезервированы места для 2 представителей, остальные заявки будут выполнены при наличии мест.
Программа и заявка на участие

9/11/2009 12:29 Военные наконец благословили 3G в Москве
По результатам экспертизы электромагнитной совместимости Минобороны согласовало присвоение радиочастот операторам "большой тройки" для строительства сетей 3G (технология UMTS) в Москве - запустить их обещают уже к Новому году (или сразу после него), сообщает "Коммерсант". Военное ведомство "благословило" установку 2 тыс. базовых станций, а также сформулировало ограничения по высоте расположения антенны, развертке лепестков базовых станций и проч. Презентация Минобороны по этому поводу была направлена в Госкомиссию по радиочастотам, которая в свою очередь выдаст операторам заключения об электромагнитной совместимости. На основании заключений Роскомнадзор сможет выдать операторам частоты, пишет "Коммерсант". Стоит заметить, что спрос на услуги связи 3G в целом по России может быть переоценен - россияне покупают соответствующие "трубки", но не используют их функциональность, пишет "РБК daily". По данным MForum Analy­tics, объем продаж сотовых телефонов 3G на российском рынке по итогам девяти месяцев 2009 года вырос на 32%, до 4,91 млн штук. Число же активных абонентов, регулярно пользующихся мобильным Интернетом, не превышает 4 млн человек.
Подробности

10/11/2009 09:58 Милиция закрыла семь заводов по выпуску пиратских DVD
Сотрудники Департамента экономической безопасности МВД РФ пресекли деятельность двух международных организованных пиратских групп и прекратили работу семи производств контрафактных DVD в Москве и Московской области. Об этом говорится в пресс-релизе на сайте МВД. Закрытые производства выпустили за 2009 год свыше 50 миллионов дисков, которые затем сбывались по всей России, а также в странах СНГ. На данные заводы приходилось 18 процентов пиратского рынка страны. Ущерб, нанесенный ими правообладателям, в МВД оценивают в 13 миллиардов рублей. Стоимость изъятого оборудования оценивается сотрудниками МВД более чем в 20 миллионов долларов США. В настоящее время оно отправлено на экспертизу. Всего в ходе операции 5 ноября в Москве, Зеленограде, Ногинске и Серпуховском районе Московской области было закрыто 23 линии для производства дисков, 2 линии для производства матриц, 5 цехов по нанесению лакокрасочного покрытия и 3 линии по изготовлению полиграфической продукции и упаковки. В марте московская милиция впервые изъяла контрафактные диски формата Blu-ray. Всего было изъято носителей на сумму около 100 миллионов рублей. Сотрудники правоохранительных органов закрыли 20 торговых точек и два склада, задержали 20 человек по подозрению в причастности к преступной группе.
Подробности

10/11/2009 10:24 Сети WiMAX придется развертывать на российском оборудовании
Операторы мобильного WiMAX при развертывании сетей в России на частотах 2,3-2,4 гигагерца должны будут использовать радиоэлектронные системы российских производителей. Об этом говорится в конкурсной документации, опубликованной Роскомнадзором. В настоящее время в России не существует даже тестовых образцов оборудования для WiMAX, пишет "Коммерсант" со ссылкой на пресс-службу компании "Синтерра". Представители других компаний полагают, что западные компании могут перенести производство в Россию. Тогда оборудование будет считаться отечественным. Конкурсы будут проводиться в феврале и марте 2010 года. Победители должны будут развернуть сети в течение полутора лет. В результате осуществления программы беспроводные сети связи четвертого поколения появятся в сорока регионах России. Готовность конкурсантов оценивается в баллах. Предпочтение отдается операторам, у которых нет лицензий на мобильную связь третьего поколения и лицензий на широкополосный интернет-доступ. Это даст большое преимущество дочерним компаниям "Связьинвеста" и сильно осложнит победу на конкурсе операторов "большой тройки" - "Мегафона", "Вымпелкома" и МТС. Кроме того, "Скартел", первый оператор WiMAX в России, не примет участие в конкурсе. Он работает на частотах 2,5-2,7 гигагерца и не заинтересован в тех частотах, которые будут распределяться на конкурсах. О предложении Минкомсвязи по развертыванию в сорока регионах России сетей WiMAX стало известно в середине октября. Ожидается, что программа будет реализована до конца 2012 года, а коммерческие инвестиции составят 30 миллиардов рублей.
Подробнее

10/11/2009 10:46 В смартфонах iPhone завелся первый червь
Обнаружен первый компьютерный червь, заражающий смартфоны Apple iPhone. Об этом сообщается в одном из блогов сотрудников компании Sophos, занимающейся борьбой с вредоносными программами и вопросами IT-безопасности. Червь проникает только в разлоченные (jailbroken) айфоны через сетевой протокол SSH. Пока жертвами стали только некоторые австралийские пользователи. После установки червь ищет в мобильной сети другие айфоны и пытается заразить их. Попал ли он в другие страны, неизвестно. Никакого вреда червь не наносит - он лишь меняет обои на фотографию поп-певца восьмидесятых Рика Эстли с надписью "ikee is never going to give you up". Тем не менее, схему распространения могут использовать злоумышленники. В Sophos рекомендуют владельцам разлоченных телефонов сменить пароль на SSH. По умолчанию он - "alpine". Автор червя также оставил в коде программы просьбу менять свой пароль во избежание взлома. В начале ноября голландский хакер продемонстрировал способ удаленного доступа к любым файлам на айфоне. Он также подключился через SSH к мобильникам Apple в сети сотового оператора T-Mobile и сменил обои, написав, что данный телефон небезопасен. За исправление уязвимости он брал по 5 евро.
Источник

10/11/2009 11:07 Украина решила перескочить формат 3G
Украинские сотовые операторы рассматривают возможность перехода на сети формата 4G (четвертого поколения), минуя сети 3G (третьего поколения). Об этом сообщает "Коммерсант-Украина". Госадминистрация связи поручила ассоциации Wireless Ukraine изучить возможность внедрения нового стандарта. Предполагается, что специалисты должны выяснить уровень готовности мобильных сетей Украины к LTE - серии усовершенствований, которые являются необходимыми для перехода на 4G. Термином 3G именуется серия технологий мобильной связи (GSM EDGE, UMTS, CDMA2000, DECT и WiMAX). Данные технологии предоставляют ряд преимуществ по сравнению с прежними поколениями сетей, в частности, более высокую скорость передачи данных (3,6 мегабита в секунду против 180 килобит в секунду у сетей 2,5G). При этом сети четвертого поколения обеспечивают скорости до 326,4 мегабита в секунду на входящем канале и до 172,8 мегабита на исходящем. Внедрение технологии, однако, блокируется военными, которым принадлежит право на использование подходящих для 3G частот. В качестве компенсации они требуют около 2,5 миллиардов гривен (сотовые операторы согласны заплатить около 600 миллионов гривен) на модернизацию оборудования, которая позволить сузить используемый ими диапазон радиоволн и, следовательно, освободить место под 3G. Специалисты отмечают, что украинские сотовые операторы не готовы к внедрению новой технологии. Так, многие частоты, предназначенные для 4G уже зарезервированы под другие проекты, например, цифровое телевидение. В частности, в настоящее время в этом диапазоне работают украинские компании "ММДС-Украина" и "Кэйбл ТВ-Финансы". Кроме этого подчеркивается, что 4G еще не совсем устоявшийся формат, и его внедрением в мире начали заниматься только в 2009 году.
Подробности

10/11/2009 11:58 Частоты для LTE тоже сделают дефицитом?
Российские чиновники, вдохновившись критикой из уст президента Дмитрия Медведева, заговорили о развертывании сотовой связи четвертого поколения стандарта LTE. Частот для LTE российским операторам может не хватить, сообщает Cnews. В конце октября президент РФ Дмитрий Медведев критически отозвался о развитии сотовой связи 3G и 4G в России. Как обычно и бывает в таких случаях, реакция не заставила себя долго ждать. Во-первых, москвичам наконец-то дали полноценный 3G: военные благословили установку 2 тыс. базовых станций, а также сформулировали ограничения по высоте расположения антенны, развертке лепестков базовых станций и так далее. Во-вторых, власти решили выдать диапазон 800 МГц (790 – 860 МГц) под развертывание сетей стандарта LTE. Однако, как сразу же отметил вице-президент «Вымпелкома» Дмитрий Плесконос, частот операторам («большой тройке» и «Скайлинку», а ведь есть ещё амбициозный шведский Tele2) может не хватить. По его оценкам, для полноценной работы сети, которая предоставляла бы скорость передачи данных в районе 120 Мбит/с., необходима широкая полоса частот, и имеющегося диапазона хватит только двум операторам. Это, предположительно, спровоцирует войну за частоты. «Вымпелком» предложил использовать для LTE диапазон 700 МГц, который в настоящий момент занят аналоговым телевидением (но телевидение, напомним, хотят сделать цифровым). Оператор готов профинансировать скорейшую реализацию программы перехода «в цифру» в обмен на частоты для LTE. Чиновники восприняли это предложение в штыки. «Мы существуем не в безвоздушном пространстве, существует Международный союз электросвязи, который определил для технологии LTE в Европе диапазон 800 МГц. Менять же таблицу распределения частот радио одного оператора мы не собираемся», - цитирует Cnews заявление главы Минкомсвязи Игоря Щеголева. Стоит отметить, что нехватка частот и другие обстоятельства, наступающие на горло прогрессу, становятся в России доброй традицией. Сети 3G разворачивали в течение нескольких лет, хотя, по оценкам западных специалистов, эта технология устарела ещё в 2007 году. Примерно так же дела обстояли и с WiMAX: тестирование сетей в Москве и Питере началось только в прошлом году, и Yota полноценно заработала в столице только в 2009. Что же касается LTE, то, по прогнозам специалистов, этот стандарт нормально заработает в России только к 2012 году.
Источник

10/11/2009 12:11 Apple выпустила масштабное обновление для Mac OS X
Apple сегодня выпустила наборы кумулятивных обновлений для операционных систем Leopard и Snow Leopard. Выпущенные обновления являются довольно крупными и закрывают почти 60 уязвимостей в самой ОС, однако по большей части они исправляют ошибки в сопутствующем программном обеспечении. В зависимости от размера конкретных установленных приложений, размер пакета обновлений колеблется от 140 до 200 мегабайт. Из наиболее опасных уязвимостей можно выделить сразу три в сервере Apache, связанные с использованием прокси-серверов. Посещение вредоносного веб-сайта с использованием прокси Apache может привести к атаке с использованием межсайтовых сценариев, говорят в Apple. Данная уязвимость затрагивает серверный вариант Mac OS X. Еще одна серверная уязвимость кроется в DNS-сервере BIND, который был подвержен спуфинговой атаке, если на нем настроено использование протокола DNSSEC. Ряд изменений был сделан и в ядре Mac OS X, в частности в подсистеме CoreGraphics. При обработке файлов PDF в модуле CoreGraphics мог возникать ряд проблем, связанных с повреждением памяти. Открытие вредоносного файла PDF могло привести к неожиданному завершению работы приложения или выполнению случайного кода. Также данная ошибка связана с удаленной атакой на систему за счет переполнения буфера. Схожая уязвимость была закрыта в системе создания образов дисков, где ранее допускалось подключение вредоносного образа, провоцировавшего переполнение буфера. Из прикладных обновлений можно выделить обновления во Flash Player, iChat, QuickDraw и других компонентах. Масса исправлений предложена для сетевых подсистем Mac OS X, в частности для языка PHP, протокола OpenSSL. Известно, что несколько функций в библиотеке OpenSSL неправильно проверяли возвращаемое значение функции EVP_VerifyFinal. Во время атаки MITM (man-in-the-middle — человек посередине) злоумышленник может выдавать себя за доверенный сервер или доверенного пользователя с использованием пакета OpenSSL для проверки сертификата SSL для ключей DSA и ECDSA. Внесены изменения в Net-SNMP, LibXML и другие системные компоненты.
Источник

10/11/2009 12:33 Хакер, взломавший сайт областного суда, отправлен на исправработы
Ленинский районный суд Екатеринбурга вынес приговор в отношении 17-летнего хакера Дмитрия Болотова из Волгограда, который 13 декабря 2008 года взломал сайт Свердловского областного суда. Как сообщили JustMedia в райсуде, Болтов был признан виновным по статье 272 УК РФ («Неправомерный доступ к компьютерной информации»). В ходе следствия было установлено, что обвиняемый, известный в компьютерных кругах под ником «Masta», поспорил с друзьями, что получит доступ к сайту, что он и сделал, запечатлев процесс на видео. Ролик впоследствии он выложил в сети интернет. Хакер не стал делать ничего с сайтом, лишь на главной странице написал «хакерская атака произведена». Суд признал Болотова виновным и приговорил к 80 часам обязательных исправительных работ.
Источник

10/11/2009 14:00 Google закончил тестировать новый поисковик
Caffeine, новая версия поискового механизма Google, в ближайшем будущем станет доступна широкой аудитории. Поисковик объявил об успешном завершении тестирования системы веб-мастерами и издателями и закрыл страницу входа в Caffeine. Google попросил всех желающих протестировать новый поиск в августе 2009 года. Теперь, по прошествии нескольких месяцев он намерен включить режим Caffeine в одном из своих датацентров. Проект Caffeine подразумевает переработку архитектуры поиска, сокращение размера индекса Google, увеличение скорости выдачи результатов и вывод более полных данных о них. В теории, поисковая выдача при переходе на Caffeine измениться не должна, так как меняется схема обработки данных, а не критерии сортировки результатов. В рамках Caffeine, в частности, Google переделает файловую систему. Нынешняя, Google File System, была создана в конце девяностых годов двадцатого века. Ее разработчики считали, что время отклика не так важно, как обработка пакетов данных. Новые веб-приложения Google требуют изменения приоритетов.
Подробности

11/11/2009 09:30 Microsoft заблокировала 600 тысяч консолей Xbox 360
Компания Microsoft заблокировала доступ в Xbox Live приблизительно для 600 тысяч консолей Xbox 360, сообщает In Entertainment. Поводом для этого стали нарушения пользовательских соглашений со стороны владельцев приставок, в частности, неофициальная прошивка консолей для запуска пиратских игр. По данным издания, сотрудникам Microsoft было дано указание к рождественским праздникам заблокировать миллион консолей. После бана за нарушение пользовательского соглашения данный Xbox 360 не может подключаться к сервисам Live и устанавливать игры на жесткий диск, однако пользователь имеет возможность восстановить свою учетную запись на новой консоли. Источники In Entertainment в Microsoft рассказали, что после первой волны блокировок пользователей служба поддержки Xbox Live получила множество звонков от возмущенных подростков, которые хотели узнать, за что их модифицированные консоли были забанены. Представители Microsoft подтвердили, что заблокировали "некоторые консоли". Как сообщает BBC News, официальном заявлении компании говорится, что все пользователи были предупреждены о незаконности неофициальных прошивок, и условия использования сервиса Live предусматривают отключение за нарушения. Среди владельцев заблокированных консолей есть как жители Северной Америки и Канады, так и европейцы. По данным "Ленты.Ру", блокировка затронула и российских игроков.
Источник

11/11/2009 10:11 Samsung представил новую мобильную ОС
Корейская корпорация Samsung анонсировала Bada, новую мобильную операционную систему, которая будет использоваться в ее смартфонах, пишет The Inquirer. Название "Bada" происходит от корейского слова, означающего "океан". Операционную систему передадут операторам в первой половине 2010 года. Сама ОС будет полностью открыта для разработчиков. Они смогут ознакомиться с ее возможностями в конце декабря. В Samsung надеются, что основанная на ядре Linux Bada сможет конкурировать с мобильной ОС Google Android. По своим задачам она схожа с Nokia Maemo и проектом Linux Mobile. Пока Samsung использует в своих смартфонах платформу Nokia Symbian, а также Windows Mobile. Предположительно, Bada заменит не только Symbian, но и мобильную систему Microsoft. The Inquirer также называет весьма вероятным открытие магазина приложений, написанных для Bada.
Источник

11/11/2009 10:44 Хакеры устроили "показательный" взлом Facebook
Несколько сотен групп в Facebook были взломаны хакерами-активистами в воспитательных целях, сообщает Loose Wire Blog. Таким способом некий хакер (или группа хакеров) решил обратить внимание общественности и администрации социальной сети на уязвимость групп. Получив управление над группами, хакеры поменяли пользовательские изображения групп на картинку с надписью «Control Your Info». В профилях групп разместили дисклеймеры (их же разослали участникам групп). «Официально сообщаем, что взломали Вашу группу в Facebook. Это значит, что в наших руках часть информации о Вас на Facebook, и, если бы мы хотели выставить Вас в дурном свете, мы могли бы сделать это. Мы можем переименовать Вашу группу каким-то грязным и непристойным именем, например, «Я поддерживаю права педофилов». Но не пугайтесь – мы не станем этого делать. Мы хотим, чтобы Вы задумались о своей безопасности в социальных медиа так же, как вы заботитесь о себе в жизни реальной. Обещаем, что вернем название Вашей группе и оставим её в покое до конца недели», - сообщается в обращениях хакеров к населению. В сообщениях товарищи советуют ознакомиться с дополнительной информации на их сайте - controlyour.info. Хакеры пишут, что стать администратором заброшенных групп в Facebook не составляет никакого труда. Хакерами они себя не считают, и возмущены тем, что администрация Facebook заблокировала их собственную группу в социальной сети, вместо того, чтобы сказать «спасибо».
Подробности

11/11/2009 11:16 Безопасники добили крупный спам-ботнет
Усилиями компании FireEye несколько дней назад удалось завалить ботнет Mega-D, известный также как Ozdok. Пастухам этой зомби-сети не помогли защитные меры, которые те предприняли после удара, полученного в результате прошлогоднего закрытия провайдера McColo. Как пояснил Атиф Муштак (Atif Mushtaq) из FireEye, Ozdok был вырублен в течение суток. Для этого компании пришлось сотрудничать с провайдерами и доменными регистраторами, что привело к блокировке IP-адресов и закрытию доменов, связанных с контролирующими центрами ботнета. Впрочем, часть контролирующих центров пока продолжают функционировать. Владельцы Ozdok предприняли некоторые меры на случай подобных действий. В частности, зомби-компьютеры пытаются связываться с несколькими десятками доменных имён для получения инструкций по рассылке спама. Более 25 из этих доменов ещё не были зарегистрированы, чем и воспользовались сотрудники FireEye, не пожалевшие средств на их регистрацию на себя. Тем не менее у Ozdok имеется и "План Б": ежедневно боты генерируют одно доменное имя, с которым пытаются связаться в случае, если все прочие домены не отзываются. Специалисты FireEye, зная алгоритм генерации этих имён, зарегистрировали соответствующие домены на некоторое количество дней вперёд. Фактически боты Ozdok в настоящее время пытаются связываться с сервером, который контролируется FireEye. Это, в частности, позволяет грубо оценить размеры ботнета: за одни сутки было насчитано более 260 тысяч уникальных IP-адресов, откуда поступали запросы к перехваченному контролирующему центру. В M86 Security Labs, где постоянно мониторят активность ботнетов, отмечают, что уровень спама, генерирующегося сетью Ozdok, резко снизился примерно 6 ноября и вчера упал до нуля.
Подробнее

11/11/2009 11:47 Анализ уязвимостей за 6 месяцев - Firefox обогнал конкурентов по числу уязвимостей
Компания Cenzic, специализирующаяся в области повышения безопасности web-технологий, представила аналитический отчет (PDF, 900 Кб), в котором обобщены данные об обнаруженных в первой половине 2009 года уязвимостях и зафиксированных атаках злоумышленников. В качестве источников данных использовались сообщения об уязвимостях, публикуемые какими службами, как Mitre, OWASP, SANS, Secunia, Security Tracker, ClickToSecure, Symantec и US-CERT. Один из основных тезисов отчета - преобладание числа обнаруженных уязвимостей в Firefox, по сравнению с другими web-браузерами: на Firefox приходится 44% всех найденных в web-браузерах за первое полугодие уязвимостей, Safari - 35%, Internet Explorer - 15% и Opera - 6%. Следует заметить, что при этом учтено лишь общее число уязвимостей, без их разделения по степени опасности. Кроме того, открытые исходные тексты Firefox способствуют проведению усиленного аудита, поэтому вместо утверждения о том, что Firefox наиболее уязвим можно говорить о том, что в Firefox наиболее активно выявляются и устраняются ошибки (многие уязвимости Firefox найдены его непосредственными разработчиками) и при этом обеспечивается минимальное время реагирования при обнаружении уязвимостей. Более того, нахождение уязвимостей в Firefox значительно упрощает открытость системы трекинга ошибок, в котором как на ладони видны точки в которых следует искать проблемы.
Подробности

11/11/2009 12:19 Microsoft убирает утилиту для Windows 7 после обвинений в нарушении GPL
На прошлой неделе на сайте Within Windows появилась информация, касающаяся возможного использования компанией Microsoft кода, лицензированного под GPL, cообщает opennet.ru. Под вопросом оказалось ПО Windows 7 USB/DVD Download Tool, внимательное исследование скомпилированных исполняемых файлов которого выявило, что имена многих его методов подозрительно совпадают с аналогичными методами, используемыми в свободном проекте ImageMaster. Microsoft никак не комментировала это совпадение до понедельника, когда вышеуказанная утилита была убрана с серверов компании. Хотя софтверный гигант открыто не признает нарушения GPL, вызванный резонанс заставил компанию начать внутреннее расследование. «Мы в настоящее время убираем Windows USB/DVD Tool (WUDT) с сайта Microsoft Store до окончания проверки» - заявил представитель по связям с прессой. Основное предназначение USB/DVD Tool – это расширение возможностей пользователя по инсталляции Windows 7. С помощью этого инструмента пользователь мог не только загрузить оплаченный им дистрибутив с сайта Microsoft Store, но и записать его на DVD или USB-накопитель, с которого затем можно было загрузиться и установить систему.
Источник

11/11/2009 13:44 Ноябрьская серия обновлений от Microsoft
Корпорация Microsoft выпустила ежемесячные обновления семейства своего ПО. На этот раз - 6 обновлений по безопасности MS09-063 - MS09-068. Обновления MS09-063/064/065 носят статус критических, оставшиеся 3 - важных. Как следует из бюллетеней, наличие уязвимостей позволяет вызвать удаленное выполнение кода в Web Services on Devices API, License Logging Server в ОС Windows 2000 и в ядре ОС Windows при обработке шрифта Embedded OpenType (EOT). Наличие уязвимости в службе AD позволяет вызвать DoS (Denial Of Service - отказ в обслуживании), а в Microsoft Office Excel и Microsoft Office Word позволить выполнить произвольный код.
Ноябрьская серия обновлений

12/11/2009 09:36 Google создал новый язык программирования
Поисковик Google объявил о создании Go, нового языка программирования. Go, по утверждению авторов, сочетает в себе скорость разработки, характерную для динамических языков, таких как Python, с производительностью и безопасностью компилируемых, таких как C и C++. Go поддерживает многопроцессорность и предназначен в первую очередь для системного программирования. С его помощью, например, можно написать сервер, обслуживающий одновременно тысячи соединений. Сам Google подчеркивает, что Go - экспериментальный язык. Он пока мало используется даже внутри компании, так как не готов к широкомасштабному применению. Пока на Go написан лишь сервер для официального сайта языка, Golang.org. В разработке Go принимали участие лучшие специалисты в этой области, пишет CNET news. В частности, это один из создателей Unix Кен Томпсон, архитектор операционных систем Inferno и Plan 9 Роб Пайк, а также Роберт Гризмер, один из разработчиков V8, механизма обработки JavaScript в браузере Chrome.
Подробности

12/11/2009 10:10 Кремль подал первую заявку на регистрацию сайта в доменной зоне .РФ
Центр регистрации доменов RU-CENTER начал прием заявок на регистрацию доменных имен в кириллической зоне .РФ, сообщает 11 ноября агентство РИА Новости. Первая заявка поступила от Кремля на имя "кремль.рф", также заявку - на имена "екатеринбург.рф" и "екбург.рф" - уже подала администрация Екатеринбурга. По словам представителя RU-CENTER Андрея Воробьева, уже принимаются заявки на регистрацию имен в зоне .РФ от компаний, каких - собеседник агентства сообщить отказался. По данным "Прайм-ТАСС", стоимость рассмотрения заявки на регистрацию имени от владельца того или иного товарного знака составляет 1200 рублей. "В целом поступило уже около десятка разных заявок", - сообщили агентству в RU-CENTER. Планируется, что в конце ноября начнется регистрация доменов второго уровня - право на это получат только государственные органы. По словам главы Минкомсвязи Игоря Щеголева, приоритетная регистрация имен для госорганов и владельцев известных торговых марок введена для того, чтобы исключить киберсквоттерство - массовую регистрацию доменных имен с их последующей продажей. Как сообщалось ранее, до апреля 2010 года регистрация сайтов в зоне .РФ будет закрытой. С 20 апреля по 15 июня имена будут продаваться с аукциона, и только после этого сайт в зоне .РФ можно будет зарегистрировать свободно.
Источник

12/11/2009 10:31 Выпущена утилита для взлома разлоченных "айфонов"
Уязвимость, о которой в последнее время узнали многие голландские и австралийские владельцы разлоченных "айфонов", уже можно легко эксплуатировать со злонамеренными целями при помощи специального хакерского инструмента. Об этом предупреждается в блоге компании Intego, специализирующейся на киберзащите "маков". Напомним, что речь идёт о довольно специфической "дыре": в разлоченных устройствах Apple iPhone обычно включён протокол SSH, предоставляющий к ним доступ извне по логину/паролю. При этом выставленный по умолчанию пароль к корневой директории пользователи чаще всего не меняют. Это означает, что, зная IP-адрес такого смартфона, можно считать из него любые пользовательские данные. Либо же удалить их или изменить. В начале этого месяца некий голландский типа-хакер "взламывал" таким образом чужие "айфоны" и просил у их владельцев по 5 евро за информацию о том, как прикрыть эту "дыру". Через несколько дней поступило сообщение из Австралии, где появился первый червь для iPhone, который самостоятельно отыскивает и поражает уязвимые устройства. В обоих случаях с данными пользователей ничего особо страшного не происходило. Напротив, из такого "взлома" пострадавшие в некотором смысле даже извлекали пользу, поскольку им становилось известно о проблеме, и они могли принять соответствующие меры (отключить SSH и/или сменить root-пароль). Но теперь шутки закончились. Специальный хакерский инструментарий умеет сканировать сеть на наличие разлоченных "айфонов", взламывать их и считывать оттуда все данные. Жертва всего этого почти наверняка не заметит. Примечательно, что утилита написана на Python; об этом сообщает Дэйвид Харли (David Harley) из ESET, который общался с Филиппом Девалуа (Philippe Devallois) из Intego по электронной почте. Интерпретатор этого языка поддерживает большинство популярных платформ, включая Windows, Mac OS X, Linux и ряд мобильных операционок. Это означает, что данная программа может использоваться практически где угодно: хакер может сидеть с ноутбуком или смартфоном за соседним столиком в интернет-кафе и загружать ваши личные данные с вашего "айфона", в то время пока вы разговариваете или пишете SMS. Сотрудники Intego добавили сигнатуры этого инструмента в свои базы, но для владельцев разлоченных "айфонов" толку от этого немного. По оценкам компании, разлоченными являются порядка 6-8% смартфонов Apple. По другим подсчётам, их не менее четверти от общего числа "айфонов".
Подробности

12/11/2009 10:56 HookSafe - гипервизор для защиты от руткитов
В секции компьютерной безопасности на конференции ACM был представлен проект HookSafe, в рамках которого создана новая система для защиты от руткитов (rootkit), отличающаяся от ранее доступных решений низким влиянием на производительность и высокой эффективностью, сообщает opennet.ru. HookSafe выполнен в виде гипервизора, перераспределяющего в Linux ядре около 6 тысяч точек возможного перехвата управления, которые можно использовать для скрытия своего присутствия в системе, в отдельную защищенную область памяти. Так как данная область через аппаратные механизмы защищена от модификации, руткит не может организовать перенаправление на себя управления через изменение содержимого возможных точек перехвата. Эксперимент показал, что HookSafe, установленный в Ubuntu 8.04, смог успешно заблокировать внедрение девяти известных руткитов, при этом падение производительности подконтрольной системы оказалась на уровне 6%. Тем не менее, некоторые эксперты не рекомендуют рассматривать HookSafe как панацею, так как система решает лишь часть проблемы, защищая ядро, но не предотвращая возможность запуска руткита. Кроме того, в ядре слишком много мест где можно перехватить управление, и они могут быть задействованы в новых руткитах.
Источник

12/11/2009 11:22 В Сети зафиксирована новая опасная модификация троянской программы-бэкдора Tdss
В компании «Доктор Веб» сообщили о появлении новой опасной модификации троянской программы-бэкдора Tdss. "По имеющейся у нас на момент выхода первой новости (13:30 MSK) информации в активном виде этого троянца не детектировал ни один антивирус. Специально для лечения BackDoor.Tdss.565 и всех его модификаций обновлен и доступен для бета-тестирования антивирусный сканер Dr.Web", - сообщили в компании. Это довольно изощренный троянец, использующий руткит-технологии, который значительно превосходит по сложности лечения небезызвестный Rustock.C. Вредоносная программа для обеспечения своей последующей автозагрузки заражает системный драйвер, обслуживающий физический диск, на котором установлена ОС. В дальнейшем руткит-модуль скрывает все изменения в системе и осуществляет внедрение компонентов пользовательского режима в процессы согласно файлу конфигурации. BackDoor.Tdss.565 до сих пор не поддавался лечению ни одним антивирусным продуктом и даже не детектировался большинством из них.
Источник

12/11/2009 11:45 Microsoft подтвердила утечку ранней версии программного обеспечения Cofee
В компании Microsoft сегодня подтвердили, что ранняя версия криминалистического программного обеспечения Cofee оказалась в интернете. Программа оказалась сразу на нескольких torrent-сайтах. "Мы можем подтвердить, что неавторизованная и модифицированная версия решения Microsoft Cofee оказалась доступной для публичного скачивания через ряд открытых сетей, - сообщил Ричард Боскович, старший юрист группы Microsoft Internet Safety Enforcement Team. - Microsoft выступает резко против возможности публичного скачивания этой разработки, так как она требует наличия лицензионного соглашения с правообладателем". Система Cofee или Computer Online Forensic Evidence Extractor представляет собой специализированный комплекс программ, включающих в себя более 150 конкретных приложений для сбора, хранения и анализа доказательной базы в цифровом варианте. По данным Microsoft, сейчас в мире Cofee используют около 2000 офицеров полиции из 15 стран. Технически, система Cofee в большей степени ориентирована на работу с цифровыми уликами - фотографиями, записями мобильных телефонов, данными аудио и видео наблюдения. Однако, пожалуй, главным преимуществом технологии являются ее развитые аналитические возможности - Cofee способна создавать целостные данные из фрагментарных доказательных элементов таким образом, чтобы их можно было представить в суде. "Cofee предназначена для облегчения работы следователей с разнородными доказательными материалами, технологии, реализованные здесь, позволяют собирать и анализировать улики в реальном времени. Также система имеет расширенный сетевой функционал, при помощи которого она может получать данные с удаленных узлов", - говорят в корпорации. Изначально программа создавалась для нужд Интерпола.
Источник

12/11/2009 12:27 DoS в Internet Explorer
Как сообщает MustLive, администратор украинского Websecurity, им обнаружена возможность вызова DoS в браузере Inetnet Explorer, которую автор назвал "DoS через домашнюю страницу" (DoS via homepage). Internet Explorer версии 6 при посещении специально созданной автором страницы, повисает и перестает отвечать на запросы (при этом его можно отключить через Task Manager. Internet Explorer версии 7 "замораживается" при нажатии на ссылку. Уязвимость подтверждена в версиях 6.0.2900.2180 и 7.0.6000.16711. Как пишут те, кто испытывал эксплоит, в версии 8 браузера DoS не работает.
Описание уязвимости (украинский язык)

13/11/2009 09:27 Microsoft пришлось оправдываться за сравнение Windows 7 с Mac OS X
Компания Microsoft официально опровергла заявление руководителя отдела по работе с партнерами Саймона Олдоса (Simon Aldous), в котором он провел параллели между Windows 7 и операционной системой Mac OS X. Об этом в своем блоге заявил официальный представитель Microsoft Брэндон Леблан (Brandon LeBlanc). Олдос ранее рассказал в интервью изданию PCR, что при создании Windows 7 разработчики Microsoft хотели приблизить свою новую операционную систему по внешнему виду к Mac OS X. Также он отметил, что новая Windows более стабильна, чем операционная система от Apple. Заявление Олдоса вызвало оживление в средствах массовой информации, его перепечатали многие популярные интернет-издания. Представитель Microsoft Леблан, в свою очередь, заявил, что растиражированная цитата Олдоса является неточной, так как начальник отдела по работе с партнерами не имеет отношения к процессу разработки операционных систем. Леблан отметил, что комментарий Саймона Олдоса относительно сравнения Windows 7 с Mac OS X был неточным и стал следствием плохой информированности сотрудника Microsoft. Windows 7 появилась на полках магазинов 22 октября и в первую неделю продаж превзошла результат своей предшественницы Vista в три раза. Предполагается, что Windows 7 полностью заменит собой операционную систему Windows XP, многие пользователи которой решили не переходить на вышедшую в 2006 году Vista.
Источник

13/11/2009 10:12 В Windows 7 найдена серьезная уязвимость
В новейшей ОС Windows 7 и серверной программной платформе Windows Server 2008 R2 обнаружена довольно серьезная уязвимость. Проблема связана с особенностями реализации протокола Server Message Block (SMB), который служит для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессорного взаимодействия. Эксплуатируя уязвимость, злоумышленники могут организовать DoS-атаку на удаленный компьютер. Отмечается, что осуществить нападение можно либо через локальную сеть, либо через Интернет, направив на машину жертвы сформированный специальным образом пакет данных. Патча для уязвимости пока нет. Microsoft, которая уже занимается изучением проблемы, подчеркивает, что практических случаев эксплуатации «дыры» не зафиксировано. О наличии уязвимости в Windows 7 стало известно буквально на следующий день после выпуска очередной порции «заплаток» для MS-продуктов. В минувший вторник Microsoft выложила патчи для опасных «дыр» в операционных системах Windows различных версий и офисных приложениях; скачать апдейты можно через службы Windows Update, Microsoft Update и встроенные в Windows средства автоматического обновления.
Подробности

13/11/2009 10:39 Вышла финальная версия платформы openSUSE 11.2
Сообщество разработчиков openSUSE объявило о выпуске версии 11.2 одноименной операционной системы на основе ядра Linux. Инициатива openSUSE появилась в августе 2005 года усилиями компании Novell. В основу операционной системы openSUSE положен дистрибутив SUSE Pro; для соблюдения лицензионной чистоты программную платформу пришлось полностью «очистить» от проприетарных компонентов, принципы распространения которых не соответствуют идеологии свободного ПО. openSUSE 11.2 выполнена на основе ядра Linux 2.6.31. В состав дистрибутива включены рабочие среды GNOME 2.28 и KDE 4.3, пакет офисных приложений OpenOffice.org 3.1, браузер Mozilla Firefox 3.5, мейлер Thunderbird 3.0 и другие приложения с открытым кодом. Среди основных особенностей платформы названы поддержка журналируемой файловой системы Ext4, возможность шифрования всего диска целиком, новые средства администрирования, расширенная база драйверов оборудования и поддержка 32- и 64-разрядных систем.
Страница загрузки

13/11/2009 11:43 Google анонсировал ускоритель Интернета
Поисковик Google разработал протокол SPDY, который призван ускорить обмен данными через интернет. Сообщение об этом появилось в одном из блогов Google. SPDY (произносится "спиди", "скоростной") является усовершенствованной версией протокола HTTP, который сейчас используется для загрузки веб-страниц и их элементов. Ожидается, что он ускорит загрузку страниц вдвое. Разработчики уже опубликовали документацию о проекте и провели первые лабораторные тесты SPDY. Они сымитировали сеть и загрузили по SPDY-соединению 25 крупнейших сайтов. В некоторых случаях страницы загружались на 55 процентов быстрее, чем при использовании HTTP-соединения, а время загрузки страниц, согласно документации, соответственно снизилось на 36 процентов. Масштабные испытания в реальных условиях пока не проводились. Создатели SPDY лишь отметили, что создали веб-сервер и браузер, поддерживающие SPDY. Без этих двух компонентов протокол работать не будет. В Google особо отмечают, что SPDY не заменяет HTTP, а лишь дорабатывает некоторые его части, а на уровне приложения протокол остается тем же.
Документация

13/11/2009 12:44 Президент потребовал обеспечить Россию широкополосным интернетом к 2014 году
Дмитрий Медведев, выступая с ежегодным посланием Федеральному собранию, заявил, что на территории России необходимо повсеместно обеспечить широкополосный доступ в интернет. Сделать это планируется в ближайшие 5 лет. Особенно это актуально, по мнению президента, для регионов Сибири и Дальнего Востока. При этом Дмитрий Медведев подчеркнул, что услуги должны предоставляться по приемлемым ценам, причем приоритет должен отдаваться самым необходимым. В эту категорию президент отнес связь с экстренной службой спасения. По словам российского президента, в настоящее время ситуация со связью крайне плачевная. Раньше Россия традиционно была на лидирующих позициях в этой отрасли, в то время как сейчас она занимает только 63 место. Во время своего выступления Дмитрий Медведев неоднократно заявлял, что возлагает на развитие современных технологий большие надежды. В частности, он сказал, что многие заседания правительства будут транслироваться в интернете в режиме реального времени. Среди прочих инициатив можно отметить предложение перейти на связь формата 4G. Этим термином называется совокупность технологий мобильной связи, которая обеспечивает ряд преимуществ по сравнению с предыдущими версиями. Например, более высокую скорость доступа к интернету, которая, теоретически, может превосходить 170 мегабит в секунду. В настоящее время на всей территории России стандарт 3G до сих пор не введен. Более того, формат 4G во всем мире до сих пор находится в состоянии тестирования.
Источник

14/11/2009 10:06 Сисадмин получил 2,5 года за установку нелицензионного ПО
Екатеринбуржские судьи сурово отнеслись к некоему Дмитрию Егорову, который оказывал услуги по установке на компьютеры нелицензионного программного обеспечения. За незаконное использование объектов авторского права в особо крупном размере Егоров проведёт 2,5 года в исправительной колонии строгого режима, сообщает ПРАЙМ-ТАСС. В абсолютных цифрах расплывчатое понятие "особо крупного размера" выразилось в данном случае в 331 600 рублей. Именно столько стоило бы ПО, установленное Егоровым на компьютеры работающих под прикрытием оперативников, если бы оно было приобретено законным порядком. О каком именно программном обеспечении идёт речь, не сообщается, но упоминаются его правообладатели: компании Microsoft, "1С", Autodesk и Adobe Systems. Спалился Егоров весьма банально, после того как разместил на неком информационном ресурсе объявление об оказании компьютерной помощи. Указанными контактами воспользовались доблестные блюстители порядка, успешно выдавшие себя за очередных клиентов и сумевшие развести Егорова по полной программе. Между этой операцией и вынесением обвинительного приговора прошло ровно два месяца: с 9 сентября по 9 ноября 2009 года. Вся эта история примечательна не столько сама по себе, сколько будучи рассмотренной в паре с другим приговором, вынесенным вчера Нагатинским районным судом Москвы. Некий неназванный частный предприниматель, распространявший нелицензионное ПО Adobe Systems, огрёб всего лишь условный срок в 3 года. И это несмотря на то, что в его торговом павильоне при обыске обнаружили без малого 9 тысяч дисков с программами различных компаний. Только за свои программы Adobe хочет слупить с нарушителя ни много ни мало четверть миллиона долларов (что, кстати, стало бы крупнейшей компенсацией в России за всю историю этой компании). Но, очевидно, столичные понятия об особо крупных размерах сильно отличаются от провинциальных. Ну не дал же этот частный предприниматель взятку неподкупным судьям, в самом деле. Между тем в Adobe собираются обжаловать данное решение суда в связи с мягкостью приговора, тем более что обвиняемый ранее уже был судим по статье 146 УК РФ (Нарушение авторских и смежных прав). Впрочем, Егоров тоже оказался рецидивистом: как сообщает УралБизнесКонсалтинг, его ранее уже приговаривали к условному сроку "за кражу машины, совершенную группой лиц по предварительному сговору, и за применение насилия в отношении представителя власти".
Источник

14/11/2009 10:51 IBM выпустила программное обеспечение для безопасности виртуальных сред
Корпорация IBM сегодня выпустила новый продукт для защиты крупных виртуализованных ИТ-систем. Новое решение IBMVirtual Server Security for VMware vSphere позволяет защитить каждый слой виртуальной инфраструктуры - от гипервизора до серверных виртуализованных рабочих столов удаленных сотрудников. В новом продукте развивается концепция базовой системы безопасности VMware VMsafe. В IBM заверяют, что их решение обладает большей масштабируемостью, улучшенным контролем и более тонкими настройками безопасности для каждого слоя данных. Такой подход, заверяют в компании, позволяет минимизировать опасность атак на виртуальные системы. "Для управляющих датацентрами становится все более очевидной необходимость специализированной защиты их решений с использованием виртуализации. Комбинация VMware vSphere и IBMvirtual Server Security for VMware предоставляет им все необходимые решения для защиты", - говорится в сообщении IBM. Отдельно в IBM отмечают, что продукт обеспечивает контроль виртуального сетевого доступа к серверу, а также мониторинг виртуальной сетевой подсистемы и полные отчеты о попытках вторжений и найденных уязвимостях. Дополнительно с решением IBM поставит решение для детектирования руткитов. Для клиентов продукт станет доступен с декабря.
Источник

15/11/2009 10:47 Windows 7 не столь энергоэффективна при работе на нетбуках, как Windows ХР
Тесты, проведенные независимыми обозревателями, говорят о том, что представленная менее месяца назад операционная система Windows 7 уступает Windows ХР по экономии заряда аккумулятора мини-компьютеров. В ходе испытаний Windows 7 и Windows ХР инсталлировались на нетбуки различных производителей (ASUS, Hewlett-Packard и Toshiba), после чего запускался тест LAPTOP Battery Test, имитирующий непрерывную работу компьютера в Интернете через беспроводное соединение. Нетбук Toshiba mini NB205 смог проработать от батареи в течение 9 часов 24 минут под управлением Windows ХР и 8 часов 51 минут — под Windows 7. То есть разница составила около получаса. В случае ASUS Eee PC 1008HA и HP Mini 311 отставание Windows 7 оказалось более существенным. Нетбук ASUS продержался на аккумуляторе 5 часов 40 минут, работая под управлением Windows ХР, и только 4 часа 43 минуты, используя Windows 7. Для мини-лэптопа HP эти показатели составили соответственно 5 часов 43 минуты и 4 часа 52 минуты. Таким образом, отмечают обозреватели, установка Windows 7 в среднем сокращает время работы нетбука от батареи на 47 минут по сравнению с Windows ХР. Впрочем, можно предположить, что по мере оптимизации драйверов оборудования под Windows 7 эта ОС покажет куда лучшие результаты.
Подробности

15/11/2009 11:50 В Adobe Flash найдена еще одна серьезная уязвимость
В популярном мультимедийном плагине Adobe Flash вновь найдена критически опасная уязвимость, открывающая для хакеров новую возможность проникновения на компьютеры пользователей. Исследователи информационной безопасности из компании Foreground Security говорят, что в сети уже есть ролики и сайты, эксплуатирующие новую уязвимость. В последней уязвимости Adobe не одинока, схожую проблему исcледователи нашли в приложениях Google, таких как Gmail. Эксперты говорят, что в случае с Gmail эксплоита для использования новой проблемы пока не найдено. Сообщается, что оба производителя программного обеспечения уже проинформированы о проблемах в своих решениях. На данный момент заплаток нет ни от Adobe, ни от Google. Использование найденной проблемы в случае с Gmail представляется затруднительным, поскольку атакующий должен обладать данными об идентификаторах пользователя, чтобы создать условия атаки. В Foreground Security сообщают, что на практике они пока не наблюдали случаев атак при помощи новых уязвимостей. Тем не менее найденная уязвимость носит концептуальный характер и может затрагивать и другие интерактивные контентные технологии, такие как JavaScript. Брэд Аркин, директор по безопасности продуктов Adobe согласен, что уязвимость носит фундаментальный характер и кроется в самой веб-концепции. "Простое пропатчивание Flash ничего не даст. Мы видим эту проблему как общую и затрагивающую все сайты, работающие с технологиями активного скриптинга, речь не только о Flash, но и о JavaScript или Silverlight. Для того, чтобы заблокировать эту уязвимость, пользователям придется заблокировать возможность загрузки файлов в тот или иной домен", - говорит он. Майк Бейли, старший специалист по безопасности Foreground Security говорит, что Adobe должна закрыть уязвимость, хотя и он признает, что полностью это проблему не решит. "Как вариант решения проблемы владельцам сайтов можно предложить оставить возможность сохранения пользовательского контента на сайте, однако загружать этот контент придется на другой сервер в другом домене", - говорит он. "В идеале Adobe, равно как и все остальные должны закрыть уязвимости, а владельцы сайтов - усилить политики безопасности".
Подробности

15/11/2009 12:52 Бета-версия Office 2010 утекла в файлообменные сети
Официально корпорация Microsoft только готовится представить первую публичную бета-версию нового пакета программного обеспечения Office 2010. На предстоящей неделе состоится так называемый пресс-показ пакета. Тем временем, все желающие уже могут скачать планируемую к показу версию пакета через файлообменные сети. Отметим, что утечка флагманских продуктов Microsoft уже стала своего рода традицией. В своей время в p2p-сети до релиза "утекали" Windows Vista, Windows 7, Office 2007 и другие продукты. Теперь, судя по всему, инсайдеры в корпорации добрались и до Office 2010. Накануне 32- и 64-битные версии продукта Office 2010 Beta появились сразу на нескольких файлообменных сайтах, в том числе Mininova и других. К утру воскресенья в сети уже было около трех сотен распространителей полных версий пакета, еще несколько сотен человек предлагали практически докаченные версии. Всего по разным оценкам в сети было размещено 2800 копий пакета размером 710 мегабайт. Вместе с тем, по информации сайта Neowin.net, предварительная сборка Office 2010 (build 14.0.4514.1009) требует ключ активации. Пользователи, качающие пакет через сеть Mininova, утверждают, что бета-оказавшаяся в их распоряжении, инсталлируется и работает, однако требует ключ активации, получить который пока невозможно. Поэтому, работать новая версия может максимум 30 дней. Несмотря на это, ряд пользователей сообщают, что уже работают над решением, обходящим активацию. Напомним, что прежние беты Office 2010 также утекали в сеть, причем было это уже дважды в текущем году: в мае, когда корпорация представила версию Technical Preview (она также оказалась в torrent-сетях) и в июле, перед тем, как этот же вариант стал доступен более широкому кругу тестеров. В конце прошлой недели Microsoft закрыла доступ к Technical Preview, сообщив, что вскоре должен состояться релиз первой бета-версии. Официальная презентация новой сборки продукта состоится в понедельник на ежегодной конференции Microsoft Professional Developers Conference.
Источник

15/11/2009 13:23 ИТ-коллапс: В Москве зависли паспортные столы
В результате обновления программного обеспечения, некоторые паспортные столы Москвы столкнулись с проблемой актуальности своих баз данных. Это привело к большим задержкам в работе паспортистов, которым пришлось обновлять БД вручную. Граждане по этой причине вынуждены стоять в очередях. На двери московского паспортного стола района Орехово-Борисово Южное появилось объявление: «В связи с заменой ПО работа идет в замедленном режиме». На одну выписку из домовой книги у паспортисток уходит 20-30 мин., стоит длинная очередь, рассказал CNews один из посетителей паспортного стола. Отделение в Орехово-Борисово Южное обслуживает 110 тыс. человек. «Наш архив, который велся в течение 20 лет, переносился в новую систему, - объяснил CNews представитель паспортного стола. - Но вместо этого была перенесена бухгалтерская база». В результате, информация в системе смешалась: в квартирах оказались прописаны, люди, на самом деле не имеющие там прописки. «Поэтому, при каждой выписке приходится обращаться к нашим бумажным копиям», - говорят в паспортном столе. Проблемы, по словам паспортистов Орехово-Борисово, возникли с недавно установленным программным обеспечением «Центра Городских информационных технологий» («Горинфотех»), которое должно было объединить базы данных самого паспортного стола и единого информационно-расчетного центра (ЕИРЦ). Это ПО установлено во всех московских паспортных столах. В районе Царицино CNews также подтвердили наличие проблемы: «Замена ПО прошла около 2 лет назад, но мы до сих пор вбиваем данные вручную, т.к. программа «голая».
Подробности инцидента


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru