Опросы |
Статьи |
Мобильные приложения
Искусственный интеллект в мобильных приложениях: возможности и перспективы
Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,
Читать далее...
|
ИТ-образование
Как сделать ИТ-образование эффективным?
Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных
Читать далее...
|
Work-life balance
Как айтишнику найти баланс между работой и личной жизнью?
Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии.
На
Читать далее...
|
Книжная полка
Всё самое нужное – под одной обложкой
Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто
Читать далее...
|
ИТ-инфраструктура
Системы мониторинга ИТ-инфраструктуры-2025
Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что
Читать далее...
|
Открытое ПО
Безопасность Open Source: рискуем или контролируем?
Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях
Читать далее...
|
Работа с нейросетью
Скажи, есть ли у тебя AI, и я скажу, кто ты
Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже
Читать далее...
|
Работа с Debian
О Linux с любовью или Debian: через знание к любви
Конечно, одним лишь перечислением замечательных качеств любовь к Linux не возникнет. Для
Читать далее...
|
Опрос
Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?
По данным RED Security, общее число кибератак на российские компании в 2024
Читать далее...
|
Опрос
Облачные инструменты для разработчиков
Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора»
> Как с помощью облака сделать
Читать далее...
|
Опрос
Рынок мобильных приложений: что будет актуальным в 2025 году?
Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора»
> Ваши прогнозы: чего ожидать от
Читать далее...
|
Рынок труда
Как успешно пройти все этапы собеседования на ИТ-должность?
По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона
Читать далее...
|
Спецпроект «Базальт СПО». Развитие Open Source в России
Алексей Смирнов: «Сейчас трудно найти программный продукт, в котором нет свободного кода»
Какое будущее ждет свободное ПО? Влияет ли свободная или несвободная разработка на
Читать далее...
|
Спецпроект «Базальт СПО». Развитие Open Source в России
Николай Костригин: «Мы создали Hantis, конвейер автоматизации. Проекты, исследуемые разными инструментами, переходят от одного исполнителя к другому, развиваются, возвращаются к автору, и так по кругу»
О том, как идет работа по повышению безопасности отечественного программного обеспечения, рассказывает
Читать далее...
|
|
|
1001 и 1 книга
|
19.03.2018г.
Просмотров: 7802
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О
Читать далее...
|
12.03.2018г.
Просмотров: 8070
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации
Читать далее...
|
12.03.2018г.
Просмотров: 5425
Комментарии: 0
Глубокое обучение с точки зрения практика
Читать далее...
|
12.03.2018г.
Просмотров: 3443
Комментарии: 0
Изучаем pandas
Читать далее...
|
12.03.2018г.
Просмотров: 4242
Комментарии: 0
Программирование на языке Rust (Цветное издание)
Читать далее...
|
19.12.2017г.
Просмотров: 4243
Комментарии: 0
Глубокое обучение
Читать далее...
|
19.12.2017г.
Просмотров: 6775
Комментарии: 0
Анализ социальных медиа на Python
Читать далее...
|
19.12.2017г.
Просмотров: 3595
Комментарии: 0
Основы блокчейна
Читать далее...
|
19.12.2017г.
Просмотров: 3864
Комментарии: 0
Java 9. Полный обзор нововведений
Читать далее...
|
16.02.2017г.
Просмотров: 7757
Комментарии: 0
Опоздавших не бывает, или книга о стеке
Читать далее...
|
17.05.2016г.
Просмотров: 11111
Комментарии: 0
Теория вычислений для программистов
Читать далее...
|
30.03.2015г.
Просмотров: 12840
Комментарии: 0
От математики к обобщенному программированию
Читать далее...
|
18.02.2014г.
Просмотров: 14613
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»
Читать далее...
|
13.02.2014г.
Просмотров: 9546
Комментарии: 0
Читайте, размышляйте, действуйте
Читать далее...
|
12.02.2014г.
Просмотров: 7515
Комментарии: 0
Рисуем наши мысли
Читать далее...
|
10.02.2014г.
Просмотров: 5793
Комментарии: 4
Страна в цифрах
Читать далее...
|
18.12.2013г.
Просмотров: 4991
Комментарии: 0
Большие данные меняют нашу жизнь
Читать далее...
|
18.12.2013г.
Просмотров: 3846
Комментарии: 0
Компьютерные технологии – корень зла для точки роста
Читать далее...
|
04.12.2013г.
Просмотров: 3524
Комментарии: 0
Паутина в облаках
Читать далее...
|
03.12.2013г.
Просмотров: 3758
Комментарии: 1
Рецензия на книгу «MongoDB в действии»
Читать далее...
|
|
|
Друзья сайта
|
|
|
|
|
Отчет по уязвимостям с 13 по 20 февраля
 |
АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов |
Еженедельный отчет содержит описания девяти уязвимостей и одного эксплоита, в наиболее распространенных приложениях и операционных системах.
Веб-браузер Mozilla Firefox
Обнаружена уязвимость в Mozilla Firefox. Удаленный пользователь может вызвать выполнение произвольного кода в целевой системе пользователя.
Уязвимость существует из-за ошибки использования памяти после освобождения в nsXBLDocumentInfo::ReadPrototypeBindings. Для реализации уязвимости удаленному пользователю необходимо составить специальную HTML-страницу которая будучи загружена на целевую машину способна вызвать повреждение памяти и выполнение произвольного кода на целевой системе.
Множественные уязвимости в продуктах Майкрософт
В прошедший вторник корпорация Майкрософт выпустила очередной набор обновлений для уязвимостей, имеющихся в продуктах данного разработчика. Рассмотрим наиболее опасных из обнаруженных уязвимостей.
Internet Explorer
Уязвимости в браузере Microsoft Internet Explorer позволяют удаленному пользователю выполнять произвольный код и получать потенциально важные сведения о работе системы. Для реализации угрозы злоумышленнику необходимо сформировать специальный HTML код, который вызывает ошибку при отображении объектов и выполнение произвольного кода. Данный код будет выполняться с привилегиями текущего пользователя. Уязвимость может быть также использована вместе с ActiveX объектами, помеченными как "safe for initialization" в приложениях Microsoft Office отображаемых IE. Для эксплуатации уязвимости обязательно требуется перезагрузка.
Ссылка на сайт разработчика: http://technet.microsoft.com/en-us/security/bulletin/ms12-010
Версии: 6, 7, 8, 9
Опасность: критическая, возможна удаленная эксплуатация уязвимости и доступ к важной информации
Операционные системы: Windows (Any)
ID в базе CVE: CVE-2012-0010, CVE-2012-0011, CVE-2012-0012, CVE-2012-0155
Решение: Установить соответствующее обновление с сайта производителя
Microsoft SharePoint
Несколько сценариев, входящих в состав SharePoint не осуществляют фильтрацию HTML-кода при вводе данных пользователем. В результате чего, удаленный пользователь может вызвать выполнение произвольного кода в браузере пользователя. Этот код будет выполняться в контексте безопасности сайта SharePoint и будет получен доступ к cookies (включая cookies связанные с аутентификацией) атакуемого пользователя. Уязвимости подвержены следующие файлы сценариев:
- inplview.aspx;
- themeweb.aspx;
- wizardlist.aspx;
Microsoft Visio Viewer
Множественные уязвимости на минувшей неделе были обнаружены в Microsoft Visio Viewer. Удаленный пользователь может создать файл Visio, который при открытии на машине целевого пользователя вызывает повреждение памяти и как следствие выполнение произвольного кода на целевой системе с правами текущего пользователя.
- Ссылки на сайт разработчика:
- Версии: 2010, 2010 SP1
- Опасность: критическая, возможна удаленная эксплуатация уязвимости
- Операционные системы: Windows (Any)
- ID в базе CVE: CVE-2012-0019, CVE-2012-0020, CVE-2012-0136, CVE-2012-0137, CVE-2012-0138
- Решение: Установить соответствующее обновление с сайта производителя
Microsoft .NET
Две уязвимости были обнаружены в Microsoft .NET.
- Удаленный пользователь может разработать приложение, использующее .NET Framework, которое при выполнении приводит к ошибке доступа к памяти и выполнению произвольного кода на целевой системе с правами текущего пользователя.
- Удаленный пользователь может разработать XAML browser (XBAP) или .NET приложение, которое при выполнении приводит к переполнению “кучи” и выполнению произвольного кода на целевой системе с правами текущего пользователя.
- Ссылки на сайт разработчика: http://technet.microsoft.com/en-us/security/bulletin/ms12-016
- Версии: 2.0 SP2, 3.5.1, 4
- Опасность: критическая, возможна удаленная эксплуатация уязвимости
- Операционные системы: Windows (2003), Windows (2008), Windows (7), Windows (Vista), Windows (XP)
- ID в базе CVE: CVE-2012-0014, CVE-2012-0015
- Решение: Установить соответствующее обновление с сайта производителя
Проигрыватель Adobe Flash Player
Множественные уязвимости обнаружены в Adobe Flash Player. Удаленный пользователь может создать специальный Flash-контент, который при выполнении производит повреждение памяти в Windows ActiveX и выполнение произвольного кода на целевой системе с правами текущего пользователя. Также возможно создание Flash-контента, позволяющего обойти ограничения безопасности и выполнить произвольный код. Кроме этого, с помощью специальный сценариев можно осуществить хищение cookies сайтов, которые посещал текущий пользователь.
- Ссылки на сайт разработчика: http://www.adobe.com/support/security/bulletins/apsb12-03.html
- Версии: 11.1.102.55 and prior versions; 11.1.112.61 and prior for Android 4.x; 11.1.111.5 and prior for Android 2.x and 3.x
- Опасность: критическая, возможна удаленная эксплуатация уязвимости
- Операционные системы: Windows (2003), Windows (2008), Windows (7), Windows (Vista), Windows (XP)
- ID в базе CVE: CVE-2012-0751, CVE-2012-0752, CVE-2012-0753, CVE-2012-0754, CVE-2012-0755, CVE-2012-0756, CVE-2012-0767
- Решение: Установить соответствующее обновление с сайта производителя
Оборудование Hewlett-Packard
В некоторых моделях принтеров возможно удаленное обновление программного обеспечения при использовании заводских настроек. Программное обеспечение может быть передано удаленно по порту 9100 без аутентификации. Изменение прошивки устройств может привести к нарушению целостности и конфиденциальности, а также к отказу в обслуживании.
В качестве решения предлагается принудительно запретить удаленное обновление и обновить программное обеспечение.
Виртуальный коммутатор Cisco Nexus
Удаленный пользователь может отправить специально собранный IP-пакет, который приведет к отказу в обслуживании.
Платформа Oracle Java SE
Множественные уязвимости обнаружены в Oracle Java SE. Удаленный пользователь может подготовить специальное приложение, выполнение которого приведет к выполнению произвольного кода в целевой системе. Также возможно выполнение отказа в обслуживании всей системы, модификация пользовательских данных.
- Ссылки на сайт разработчика: http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
- Версии: 1.4.2_35 и более ранние, 5.0 Update 33 и более ранние; 6 Update 30 и более ранние; 7 Update 2 и более ранние
- Опасность: критическая, возможна удаленная эксплуатация уязвимости, отказ в обслуживании, раскрытие и модификация пользовательской информации
- Операционные системы: Linux (Any), UNIX (Solaris - SunOS), Windows (Any)
- ID в базе CVE: CVE-2011-3563, CVE-2012-0497, CVE-2012-0498, CVE-2012-0499, CVE-2012-0500, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0504, CVE-2012-0505, CVE-2012-0506, CVE-2012-0508
- Решение: Установить соответствующее обновление с сайта производителя
Эксплоит для Adobe Flash Player MP4
В проигрывателе Adobe Flash Player MP4 в августе прошлого года были обнаружены множественные уязвимости. На этой неделе в сети появился эксплоит, разработанный в среде Metasploit Framework, позволяющий эксплуатировать одну из них.
Информация по исходной уязвимости
Уязвимость существует из-за ошибки обработки границ данных при обработке значения num_ref_frames_in_pic_order_cnt_cycle в компоненте sequenceParameterSetNALUnit. Удаленный пользователь может вызвать переполнение буфера в стеке.
- Ссылки на сайт разработчика: http://www.adobe.com/support/security/bulletins/apsb11-21.html
- Версии:
- Adobe Flash Player 10.3.181.36 and earlier for Windows, Macintosh, Linux and Solaris
- Adobe Flash Player 10.3.185.25 and earlier for Android
- Adobe AIR 2.7 and earlier for Windows, Macintosh, and Android
- Опасность: критическая, возможна удаленная эксплуатация уязвимости
- Операционные системы: Windows, Macintosh, and Android
- ID в базе CVE: CVE-2011-2140
- Решение: Установить соответствующее обновление с сайта производителя
Использованные источники:
- Securitytracker.com
- Securitylab.ru
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
|
|