Информационная безопасность компьютерных систем и защита конфиденциальных данных
Уязвимости

Переполнение буфера в UltraISO 9.3.1.2633

автор: Administrator | 7 апреля 2009, 07:07 | Просмотров: 19243
теги: Уязвимости, UltraISO, данные, файл, Переполнение, буфер, Атакующий

ОПИСАНИЕ:
Эксперт Dyon Balding (Secunia Research), обнаружил три уязвимости в UltraISO 9.3.1.2633, которые позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки в проверке входных данных при обработке CIF, C2D и GI файлов, граничная ошибка может быть использовано чтобы переполнить глобальный буфер.

Атакующий может передать специально сформированные файлы, что приведет к выполнению произвольного кода.
Новости

SQL-инъекция следующего поколения открывает доступ к серверам

автор: Administrator | 4 апреля 2009, 11:43 | Просмотров: 3049
теги: Уязвимость, SQL, сервер, Microsoft, Новости, Безопасность, Гимараеш, буфер

Уязвимость, которая присутствует больше чем на одном из десяти веб-сайтов, может стать поистине смертельной, поскольку новые исследования доказывают, что ее можно использовать для получения полного контроля над серверами, на которых эти сайты расположены.

В исследовании, которое ближе к концу этого месяца в ходе конференции в Амстердаме представит Бернардо Гимараеш, будет показано, как при помощи SQL-инъекций можно отрыть дверь для куда более серьезных эксплоитов, используя которые, хакеры будут способны получить полный доступ к базе данных сайта и операционной системе сервера.

Эксперт утверждает, что разработанные им методики основываются на использовании уязвимости в трех самых популярных базах данных - MySQL, PostgreSQL и Microsoft SQL Server.

Один из таких методов использует уязвимость к переполнению буфера, которая может присутствовать в базе данных. Сеньор Гимараеш заявил, что уже успешно применял этот способ для получения полного контроля над серверами с базой данных SQL Server, прежде чем корпорация Microsoft в феврале пропатчила проблему с переполнением буфера.
Термины

Переполнение буфера

автор: Administrator | 9 февраля 2009, 03:19 | Просмотров: 5880
теги: Термины, переполнение буфера, программы, данные, защита, буфер, отказ в обслуживании

Переполнение буфера (Вuffer Overflow) - явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера.

Переполнение буфера обычно возникает из-за неправильной работы с данными, полученными извне, и памятью, при отсутствии жесткой защиты со стороны подсистемы программирования (компилятор или интерпретатор) и операционной системы. В результате переполнения могут быть испорчены данные, расположенные следом за буфером (или перед ним).

Переполнение буфера является наиболее популярным способом взлома компьютерных систем, так как большинство языков высокого уровня используют технологию стекового кадра - размещение данных в стеке процесса, смешивая данные программы с управляющими данными (в том числе адреса начала стекового кадра и адреса возврата из исполняемой функции)...
Уязвимости

Opera - переполнение буфера через "file:" URI

автор: Administrator | 5 февраля 2009, 08:32 | Просмотров: 5728
теги: обнаружена, уязвимость, переполнение, буфер, URI, Opera, браузер, уязвимости

ОПИСАНИЕ:
В браузере Opera обнаружена уязвимость к удаленному выполнению произвольного машинного кода при посещении веб-страницы, содержащей вредоносный javascript-вызов.

Функция "window.location.replace()" не проверяет граничную длину параметра URI типа "file://", что приводит к переполнению буфера в куче, если параметр чрезмерно длинный.
Патчи

Linux Kernel 2.6.27.6 - патч для уязвимости к переполнению буфера

автор: Administrator | 5 февраля 2009, 06:13 | Просмотров: 4255
теги: Патчи, Linux, Kernel, уязвимости, переполнению, буфер, система

Описание патча:
Версия ядра Linux (Linux Kernel) 2.6.27.6 устраняет уязвимость к переполнению буфера в "hfs_cat_find_brec()", обнаруженную в предыдущих выпусках продукта.