02.10.2012 | Уязвимость в libpng, gnome-screensaver и языке Python
Веб-портал www.adme.us сообщил, что в библиотеке libpng обнаружена уязвимость, которая может привести к выполнению кода злоумышленника или получению доступа к области памяти приложения, в момент обработки специальным образом скомпонованного PNG изображения в программе, использующей функции png_set_read_user_chunk_fn()/ png_set_keep_unknown_chunks() библиотеки libpng. Проблема устранена в версиях libpng 1.0.33 и 1.2.27beta01, релиз 1.2.27 будет выпущен 26 ноября. Необходимым условием для удачного проведения атаки, является обязательность вызова в атакуемом приложении функции png_set_read_user_chunk_fn() или png_set_keep_unknown_chunks() при установленных флаговых значениях PNG_HANDLE_CHUNK_IF_SAFE или PNG_HANDLE_CHUNK_ALWAYS. Например, подобная конструкция используется в программах pngtest, pngcrush и ImageMagick (с версии 6.2.5 по 6.4.0-4). Похожая проблема найдена в PNG фильтре печати из состава пакета CUPS. Кроме того, можно обратить внимание на две другие уязвимости: - "Incorrect input validation in PyString_FromStringAndSize() leads to multiple buffer overflows" - в Python 2.5.2 и более ранних версиях в функциях PyString_FromStringAndSize() и PyUnicode_FromStringAndSize(), из-за недостаточной проверки входящих параметров, может быть вызвано переполнение буфера через скрипты использующие пользовательские данные в качестве аргументов вышеупомянутых функций;
- "Gentoo update for gnome-screensaver" - люди имеющие локальный доступ к машине, экран которой заблокирован при помощи gnome-screensaver, могут вызвать крах gnome-screensaver и разблокировать экран. При этом в системе должна применяться аутентификация через внешние службы, подобные NIS или LDAP (пользователь выдергивает ethernet кабель, пытается набрать любой пароль и получает доступ к десктопу).
Лазарева Валентина Владимировна
Рекомендуем ознакомиться
- MySpace уходит из России
Из нескольких источников стало известно, что социальная сеть MySpace планирует закрыть свой российский офис в ближайшее время. Можно предположить, что офисы будут закрыты в рамках сокращения расходов MySpace из-за низких показателей выручки компании.
- ASRock начнет выпускать материнские платы высшего класса
Об в интервью сообщил Тед Хсу (Ted Hsu), директор компании Он подчеркнул, что политики не повлияет на ASRock с ASUSTeK Computer.
- ALT Linux 4.0 Desktop Professional сертифицирован ФСТЭК
ALT Linux 4.0 Desktop Personal Сертифицирован Федеральной службой по техническому и экспортному контролю (ФСТЭК России). Показатели защищенности от несанкционированного доступа к информации - по 5 классу защищенности.
- Парочка производительных ноутбуков
Кроме того, ноутбуки данной серии полностью удовлетворяют всем требованиям американского военного стандарта MIL-STD 810F. В линейке представлены две модели, а именно 14,1-дюймовая DESTEN CyberBook S844 и 13,3-дюймовая DESTEN CyberBook S843.
- Интернет: источник открытий
Истории были удивительно живыми, и компания Google захотела, чтобы о них узнали за пределами Сети. В результате получилась целая выставка из 62 историй и фотографий.
- LiMo расширяется за счет новых членов и предлагает новые телефоны
Слухи об увеличении количества участников консорциума LiMo стали появляться сразу после заявления LiPS о прекращении деятельности. Новая модель MotoZINE ZN5 продолжает традицию использования ядра MontaVista и графического интерфейса от бывшего Trolltech.
|