|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
(1) Каждая установленная копия ОС Windows уникальна.
В результате ошибки при пересылке внутреннего бюллетеня Microsoft (сообщение было отправлено на почтовые адреса подписчиков новостей от MS) стал известен факт наличия уникального кода системы, называемого сигнатурой системы. Сигнатура генерируется при установке ОС и состоит из двух частей: генерируемой на основе информации о системе и генерируемой псевдослучайно.
Внимание! В процессе переустановки (установки поверх старой копии ОС) сигнатура не меняется!
Также стало известно, что Visual Studio (а, возможно, и некоторые другие среды программирования) добавляет сигнатуру в исполняемый файл. Благодаря этой "особенности" Windows, в последнее время была доказана виновность нескольких авторов всемирно известных интернет-червей.
(2) SecurityFocus на грани закрытия.
Как известно, поток advisories в секфоковский багтрек заметно оскудел при все возрастающем количестве найденных уязвимостей в различном ПО. Все дело в том, что Microsoft совместно с IBM подали иск против SecurityFocus. Они утверждают, что распространение любой информации об уязвимостях сверх опубликованных в официальных бюллетенях подбивает законопослушных граждан к совершению преступления. В ближайшее время ожидается еще несколько подобных исков от других софтверных компаний. Администрация SecurityFocus пока не дала никаких комментариев прессе.
(3) SHA-1 Broken???
В последнее время акивно обсуждается новость о нахождении коллизий в криптоалгоритме SHA-1. Группа американских математиков из MIT обнаружила ошибку в работе команды китайских исследователей (Xiaoyun Wang, Yiqun Lisa Yin и Hongbo Yu). Из пресс-релиза американцев следует, что методы обнаружения коллизий работают только на узком подклассе ключей. Брюс Шнайер, сообщивший всему миру об успехе китайцев пока молчит.
(4) Геймеры в опасности.
В DirectX 9-й версии найдена критическая уязвимость, позволяющая злоумышленнику полностью подчинить себе компьютер жертвы. Уязвимость актуальна в то время, когда геймер запускает игрушку, активно взимодействующую с сетью. Критические ошибки содержатся в коде библиотеки DirectPlay, предназначенной для работы с сетью. По заявлениям M$ в апреле должна выйти новая версия DirectX 9.0d (9.3), которая будет свободна от упомянутых недостатков. Цитата из
пресс-релиза M$: "... эта ошибка не является в полном смысле ошибкой, а документированной возможностью, которая полностью описана в мартовском DirectX SDK update. Однако, эта она была использована во вред, поэтому мы решили исключить ее из состава DirectX." Мартовское обновление DirectX SDK с полным описанием ошибки из первых уст провисело на сайте M$ всего 4 дня.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
