OpenForum RSS: Уязвимости в LibTIFF, Spring Framework, Plone, Apache Axis2 ... https://www.opennet.ru/openforum/vsluhforumID3/68274.html Несколько новых уязвимостей:<br><br><br><br>- В свободной библиотеке LibTIFF (http://www.remotesensing.org/libtiff/) обнаружено (http://secunia.com/advisories/40241/) переполнение буфера, которое может привести к выполнению кода злоумышленника в программах, использующих данную библиотеку, при попытке обработки TIFF-изображения, содержащего специальным образом оформленных блок SubjectDistance-тэгов. Проблема устранена в версии 3.9.4 (http://www.remotesensing.org/libtiff/v3.9.4.html).<br><br>- В реализации абстрактного класса "classLoader" в Java-фреймворке Spring найдена уязвимость (http://www.springsource.com/security/cve-2010-1622), которая может быть использована для подмены URL в свойстве "repositoryURLs" и инициирования выполнения кода, путем загрузки jar-файла злоумышленника. Проблема устранена в версиях 3.0.3 и 2.5.6.SEC02.<br><br>- В системе управления контентом Plone (http://plone.org/) найдена уязвимость (http://plone.org/products/plone/security/advisories/CVE-2010-2422) связанная с некор...<br><br>URL: <br>Новость: http Уязвимости в LibPNG, LibTIFF, Spring Framework, Plone, Apach... (XoRe) https://www.opennet.ru/openforum/vsluhforumID3/68274.html#22 Tue, 29 Jun 2010 20:00:59 GMT &gt;В портах FreeBSD пакет png 1.4.1 вчера помечен как "FORBIDDEN: vulnerable to <br>&gt;remote buffer overflow", то есть уже не собрать ни его, ни <br>&gt;зависимые от него приложения. :)) <br><br>А в gentoo система внезапно захотела пересборки мира)<br> Уязвимости в LibTIFF, Spring Framework, Plone, Apache Axis2 ... (XoRe) https://www.opennet.ru/openforum/vsluhforumID3/68274.html#21 Tue, 29 Jun 2010 19:59:31 GMT &gt;http://twitpic.com/20x167 <br><br>Позвольте овзвучить ваш комментарий:<br><br>А вот secunia присвоила уязвимостям в chrome оранжевенький уровень угрозы. Оранжевенький - это же ого-го! Это вам не зелененький. И даже не желтенький! Оранжевенький - это полюбому что-то серьёзное! Ещё быть чуть-чуть и был бы красненький. А красненький - это вообще кошмар! Я не знаю, что значит "крах рабочего процесса" и "многоступенчатая система защиты" - это скорее всего какие-то полу-кустарные технологии. Но я знаю, что оранжевенький - это очень серьёзно. Почти что красненький!<br><br><br>P.S.<br>Что-нибудь платят, хоть, за евангелизм?<br>Или только "бесплатные лицензии в рамках партнерской программы"?)<br> Уязвимости в LibTIFF, Spring Framework, Plone, Apache Axis2 ... (аноним) https://www.opennet.ru/openforum/vsluhforumID3/68274.html#20 Tue, 29 Jun 2010 14:34:10 GMT Всё евангелизмом (MSP) занимаешся.<br>Завязывай с дурью, найди работу, побирушка.<br> Уязвимости в LibTIFF, Spring Framework, Plone, Apache Axis2 ... (Трухин_Юрий_Владимирович) https://www.opennet.ru/openforum/vsluhforumID3/68274.html#19 Tue, 29 Jun 2010 08:03:13 GMT http://twitpic.com/20x167<br> Уязвимости в LibPNG, LibTIFF, Spring Framework, Plone, Apach... (iZEN) https://www.opennet.ru/openforum/vsluhforumID3/68274.html#18 Tue, 29 Jun 2010 06:37:32 GMT В портах FreeBSD пакет png 1.4.1 вчера помечен как "FORBIDDEN: vulnerable to remote buffer overflow", то есть уже не собрать ни его, ни зависимые от него приложения. :))<br> Уязвимости в LibTIFF, Spring Framework, Plone, Apache Axis2 ... (Eratosfen) https://www.opennet.ru/openforum/vsluhforumID3/68274.html#17 Tue, 29 Jun 2010 06:37:07 GMT Ребята вы не в теме,<br><br>На конкурсе по взлому браузеров хакеры утверждали, что им известно о уязвимостях в Хроме. Но в Хроме каждый процесс выполняется в sandbox, процессы сами лишают себя всех прав, chroot-ят себя в пустой каталог. Так что взломать Хроме можно, вот только от этого не холодно не жарко, все равно доступ ни к чему от этого не получить. Пока хакерам не удалось обойти ограничения sandbox-а.<br> Уязвимости в LibTIFF, Spring Framework, Plone, Apache Axis2 ... (Антон) https://www.opennet.ru/openforum/vsluhforumID3/68274.html#16 Mon, 28 Jun 2010 17:59:25 GMT Покажите мне хоть одну дыру в Chrome, которая делает больше чем крах одного рабочего процесса ? Ни одной реально эксплуатируемой дыры в Chrome до сих пор не находили, многоступенчатая система защиты в Chrome работает отлично.<br> Уязвимости в LibTIFF, Spring Framework, Plone, Apache Axis2 ... (Антон) https://www.opennet.ru/openforum/vsluhforumID3/68274.html#15 Mon, 28 Jun 2010 17:55:53 GMT &gt;А Chrome позиционаровался как защищенны? Кроме того, для тех кто в танке <br>&gt;- опасный уязвимостей в нем нашли уже прилично. То ли еще <br>&gt;будет. <br><br>Нашли кучу, но только реально эксплуатировать, т.е. организовать выполнение кода на машине пользователя, ни одна уязвимость не позволяет. В лучшем случае запуск JavaScript или доступ к закрытым областям одного процесса, читай одной вкладки в которой и был запущен сайт атакующего. Там очень много мешающих эксплуатации дыр нюансов, Google в этом плане молодцы.<br> Уязвимости в LibTIFF, Spring Framework, Plone, Apache Axis2 ... (аноним) https://www.opennet.ru/openforum/vsluhforumID3/68274.html#13 Mon, 28 Jun 2010 16:12:26 GMT не такой уж он и неуловимый<br>несмотря на сомнительные достоинства, хром уже завоевал приличную аудиторию пользователей.<br>