www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Интеграция Open Source-решений  

Open Source в облачной среде

Облачные решения становятся всё более популярными в мире. Компании стремятся использовать их для

 Читать далее...

Автоматизация  

Нейросеть вам в руки! Как использовать ИИ для автоматизации задач

Использование ИИ для автоматизации задач помогает компании получить конкурентное преимущество, поскольку объединение

 Читать далее...

Рынок труда  

Специалист по этическому ИИ, инженер по квантовым вычислениям или аналитик по метавселенной?

Новые тенденции в развитии ИТ могут привести к возникновению новых специальностей в

 Читать далее...

Книжная полка  

Учитесь убеждать и побеждать

Издательство «БХВ», как всегда, порадовало своих читателей хорошими книжными новинками. Кроме популярных

 Читать далее...

Сетевая инфраструктура  

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

 Читать далее...

Мониторинг  

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

 Читать далее...

Книжная полка  

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

 Читать далее...

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 9405
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 9644
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 7054
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 4403
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 5188
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 5186
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 7857
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 4556
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 4820
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 8806
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 12236
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 13822
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 15591
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 10455
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 8486
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 6719
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5863
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 4709
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 4436
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 4649
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Отчет по уязвимостям с 17 по 23 июля

Статьи / Отчет по уязвимостям с 17 по 23 июля

Автор: Андрей Бирюков

Еженедельный отчет содержит описания пяти уязвимостей, в том числе и множественных, и одного эксплоита в наиболее распространенных приложениях и операционных системах.

Отчет по уязвимостям с 17 по  23 июля

Еженедельный отчет содержит описания пяти уязвимостей, в том числе и множественных, и одного эксплоита в наиболее распространенных приложениях и операционных системах.

 

Dr.Web Anti-virus для Android  

Уязвимость существует из-за ошибки при обработке SQL запросов в классе com.drweb.activities.antispam.CursorActivity. Удаленный пользователь может, например, раскрыть истории звонков и SMS сообщений. Для успешной эксплуатации уязвимости требуется, чтобы вредоносное приложение было установлено.

Ссылка на сайт разработчика:  https://play.google.com/store/apps/details?id=com.drweb.pro

Версии:  Dr.Web Anti-virus для Android версии до 7.00.2.

Опасность: высокая

Операционные системы:  Android

ID в базе CVE:   

Решение: Установить необходимые обновления.

 

Mozilla Firefox

В браузере Mozilla Firefox обнаружены множественные уязвимости, позволяющие выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за неизвестных ошибок в ядре браузера. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки событий drug&drop. Удаленный пользователь может подменить содержимое адресной строки.

3. Уязвимость существует из-за ошибки использования после освобождения в функции "nsSMILTimeValueSpec::IsEventBased()".

4. Уязвимость существует из-за ошибки использования после освобождения в функции nsDocument::AdoptNode() при обработке документированных загрузок.

5. Уязвимость существует из-за ошибки чтения за пределами границ данных в функции ElementAnimations::EnsureStyleRuleFor(). Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

6. Уязвимость существует из-за ошибки в функции nsTableFrame::InsertFrames(). Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

7. Уязвимость существует из-за ошибки при обработке истории навигации. Удаленный пользователь может осуществить подмену адресной строки.

8. Уязвимость существует из-за ошибки в функционале контекстного меню. Удаленный пользователь может с помощью URL "data:".

9. Уязвимость существует из-за ошибки в функционале просмотра лент. Удаленный пользователь может осуществить атаку межсайтового скриптинга.

10. Уязвимость существует из-за ошибки использования после освобождения в функции nsGlobalWindow::PageHidden() при обработке событий фокуса.

11. Уязвимость существует из-за ошибки при обработке отсеков. Удаленный пользователь может обойти определенные (SCSW).

12. Уязвимость существует из-за ошибки чтения за пределами границ данных в библиотеке управления шрифтами. Удаленный пользователь может раскрыть содержимое определенной памяти.

13. Уязвимость существует из-за ошибки при обработке заголовков X-Frame-Options. Удаленный пользователь может осуществить атаку хищения кликов.

14. Уязвимость существует из-за ошибки в функции JSDependentString::undepend() при конвертации зависимой строки в фиксированную строк. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

15. Уязвимость существует из-за ошибки в реализации Content Security Policy (CSP), которая включает конфиденциальную информацию в параметре blocked-uri. Удаленный пользователь может раскрыть OAuth 2.0 токены пользователя, а также учетные данные OpenID.

16. Уязвимость существует из-за шибки при обработке исключений сертификата. Удаленный пользователь может с помощью страницы about:certerror осуществить хищение кликов.

17. Уязвимость существует из-за ошибки при обработке «лент». Удаленный пользователь может с помощью URL адресов обойти фильтры output и выполнить произвольный JavaScript код.

18. Уязвимость существует из-за неизвестной ошибки в движке браузера. Удаленный пользователь может обойти JavaScript песочницу и с помощью URL javascript: выполнить произвольный код на целевой системе.    

Ссылка на сайт разработчика: 

http://www.mozilla.org/security/announce/2012/mfsa2012-42.html
http://www.mozilla.org/security/announce/2012/mfsa2012-43.html
http://www.mozilla.org/security/announce/2012/mfsa2012-44.html
http://www.mozilla.org/security/announce/2012/mfsa2012-45.html
http://www.mozilla.org/security/announce/2012/mfsa2012-46.html
http://www.mozilla.org/security/announce/2012/mfsa2012-47.html
http://www.mozilla.org/security/announce/2012/mfsa2012-48.html
http://www.mozilla.org/security/announce/2012/mfsa2012-49.html
http://www.mozilla.org/security/announce/2012/mfsa2012-50.html
http://www.mozilla.org/security/announce/2012/mfsa2012-51.html
http://www.mozilla.org/security/announce/2012/mfsa2012-52.html
http://www.mozilla.org/security/announce/2012/mfsa2012-53.html
http://www.mozilla.org/security/announce/2012/mfsa2012-54.html
http://www.mozilla.org/security/announce/2012/mfsa2012-55.html
http://www.mozilla.org/security/announce/2012/mfsa2012-56.html

  

  

Версии: Mozilla Firefox версий до 14.0.1

 

Опасность: высокая

Операционные системы: Windows (Any)

ID в базе CVE: CVE-2012-1948, CVE-2012-1949, CVE-2012-1950, CVE-2012-1951, CVE-2012-1952, CVE-2012-1953, CVE-2012-1954, CVE-2012-1955, CVE-2012-1957, CVE-2012-1958, CVE-2012-1959, CVE-2012-1960, CVE-2012-1961, CVE-2012-1962, CVE-2012-1963, CVE-2012-1964, CVE-2012-1965,

CVE-2012-1966, CVE-2012-1967

 

Решение: Для устранения уязвимостей установите обновление с сайта производителя

 

MySQL

Множественные уязвимости в СУБД MySQL позволяют удаленному пользователю осуществить DoS атаку.

1. Уязвимость существует из-за неизвестной ошибки в субкомпоненте GIS Extention. Удаленный пользователь может вызвать зависание или аварийное завершение работы службы.

2. Уязвимость существует из-за неизвестной ошибки в субкомпоненте Server Optimizer. Удаленный пользователь может вызвать зависание или аварийное завершение работы службы.

3. Уязвимость существует из-за неизвестной ошибки в субкомпоненте Server Optimizer. Удаленный пользователь может вызвать зависание или аварийное завершение работы службы.

4. Уязвимость существует из-за неизвестной ошибки в субкомпоненте Server Optimizer. Удаленный пользователь может вызвать зависание или аварийное завершение работы службы.

5. Уязвимость существует из-за неизвестной ошибки в субкомпоненте Server. Удаленный пользователь может вызвать зависание или аварийное завершение работы службы.

6. Уязвимость существует из-за неизвестной ошибки в субкомпоненте InnoDB. Удаленный пользователь может вызвать зависание или аварийное завершение работы службы.

 

Ссылка на сайт разработчика:  http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html

http://www.oracle.com/technetwork/topics/security/cpujul2012verbose-392736.html  

Версии: MySQL 5.1.62

MySQL 5.5.22

MySQL 5.5.23 и более ранние версии.

 

Опасность: критическая

Операционные системы: 

ID в базе CVE:  CVE-2012-0540, CVE-2012-1689, CVE-2012-1734, CVE-2012-1735, CVE-2012-1756, CVE-2012-1757

Решение: Установите обновление с сайта производителя.

 

Oracle Portal

Уязвимость позволяет удаленному пользователю манипулировать определенными данными на системе. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может манипулировать определенными общедоступными данными Portal.

 

Ссылки на сайт разработчика:  http://www.oracle.com/technetwork/middleware/portal/overview/index.html

 

 

Версии: Oracle Portal 11.1, возможно другие версии

Опасность: критическая, возможна удаленная эксплуатация уязвимости

Операционные системы: 

ID в базе CVE: CVE-2011-3562

Решение: Установить соответствующее обновление с сайта производителя  

 

Solaris

Множественные уязвимости были обнаружены в ОС Solaris. Локальный пользователь может осуществить поднятие привилегий в целевой системе. Удаленный пользователь может осуществить отказ в обслуживании и частичную модификацию данных в целевой системе.

Ссылки на сайт разработчика:    

www.oracle.com/technetwork/topics/security/cpujul2012-392727.html

 

Версии: 8, 9, 10, 11.

 

Опасность: критическая

Операционные системы: 

 

ID в базе CVE: CVE-2011-2699, CVE-2012-0563, CVE-2012-1687, CVE-2012-1750, CVE-2012-1752, CVE-2012-1765, CVE-2012-3112, CVE-2012-3120, CVE-2012-3121, CVE-2012-3122, CVE-2012-3123, CVE-2012-3124, CVE-2012-3125, CVE-2012-3126, CVE-2012-3127, CVE-2012-3129, CVE-2012-3130, CVE-2012-3131 

Решение: Установить соответствующее обновление с сайта производителя  

 

 

Эксплоит к Windows Task Scheduler

Локальный эксплоит позволяет осуществить поднятие привилегий с помощью планировщика задач Windows.

Ссылка на исходный код в среде Metasploit:    

http://www.exploit-db.com/exploits/19930/

 

Использованные источники:

  1. Securitytracker.com
  2. Securitylab.ru
  3. http://www.exploit-db.com

 

 

 

 

 

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru