На сайте Oracle очередной бюллетень Critical Patch Update с информацией о новых уязвимостях, обнаруженных в программных продуктах компании.

На этот раз Oracle устранила около четырех десятков дыр в различных пакетах. Уязвимости, в частности, выявлены в сервере приложений Oracle Application Server, системе управления базами данных Oracle Database, интегрированном комплексе приложений для электронного бизнеса Oracle E-Business Suite, продукте Oracle Siebel Enterprise Suite, а также в комплексе средств для централизованного управления системами Oracle Enterprise Manager..

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "poll_id" в сценарии index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Согласно статистике, представленной в отчете компании MessageLabs по сетевым угрозам за февраль, уровень спама в почтовом трафике несколько уменьшился по сравнению с январем и составил 72,7%. Более 4% спама в настоящее время рассылается с почтовых аккаунтов Yahoo, Hotmail, MSN и Gmail.

Проведя серию атак на популярные бесплатные почтовые сервисы, спамеры путем взлома защитных систем CAPTCHA получили возможность создавать легитимные аккаунты для рассылки незапрошенной рекламы. По оценке MessageLabs, наиболее пострадавшим из сервисов является Yahoo.

Google стал последним бастионом, сдавшим CAPTCHA спамерам. Количество спам-рассылок со свежеиспеченных Gmail-аккаунтов за прошедший месяц удвоилось и к концу февраля составило 4,6% от совокупного объема спама, рассылаемого из мошеннически «легализованных» источников..

Более 10 тыс. веб-страниц были заражены вредоносной программой - это одна из самых крупных атак на сегодняшний день.

Список скомпрометированных веб-страниц включает туристические сайты, правительственные веб-ресурсы и сайты, посвященные хобби. На веб-ресурсах был размещен JavaScript-код, который перенаправляет посетителей на сайт, базирующийся в Китае и контролируемый хакерами.

Вредоносная программа пытается использовать уязвимость в Windows, RealPlayer, а также других приложениях с целью взлома ПК, согласно данным McAfee.

Компоненты вредоносной программы пытаются украсть пароли к онлайн-играм, а также уставить бэкдор для дальнейшей установки дополнительных вредоносных программ.

McAfee Avert Labs впервые обнаружила эту атаку 12 марта. Из 10 тыс. страниц, которые были скомпрометированы, часть уже очищена от вредоносного кода.

Как пишет The Register, атака, по предположениям ИБ-экспертов, произведена небольшой группировкой хакеров, базирующейся на севере Китая.

Обнаруженные уязвимости позволяют удаленному пользователю произвести SQL-инъекцию и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "factor" в сценарии tools/mapFiler.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе.

Хакерская команда iPhone Dev Team взломала прошивку версии 2.0 для iPhone. Окончательная версия прошивки 2.0 для телефона Apple должна появиться только летом 2008 года. В настоящее время она входит в комплект SDK как версия 1.2.

В качестве доказательства факта взлома прошивки на сайте iPhone Dev Team приводятся скриншоты сторонних приложений, запущенных на iPhone. Работает взломанная прошивка лишь на телефонах, не привязанных к оператору AT&T.

Пакет инструментальных средств разработки приложений SDK для iPhone и iPod Touch вышел 6 марта. За четыре дня его скачали более 100 тысяч раз.

Компания Six Apart выпустило приложение Blog It для социальной сети Facebook, которое позволяет пользователям ресурса делать постинги в блоги или сервисы статуса, не покидая сайта Facebook, сообщает eWeek. С помощью него можно делать записи на таких ресурсах, как Blogger, Livejournal, Twitter, Tumblr, Pownce, Vox, а также в системах публикаций Wordpress или Movable Type.

Blog It уведомляет друзей и коллег пользователя о новых постингах так же, как это делает Facebook. Более того, блоггеры смогут автоматически делиться информацией через Twitter и Pownce, кроме новостной ленты Facebook..

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "kind" сценарием cat.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

72% компаний с установленными в сети обновленными решениями безопасности заражены вредоносными кодами, говорится в отчете PandaLabs по результатам исследования, проведенного среди 1,5 млн. пользователей в 2007 г. Среди конечных пользователей выявлено 23% зараженных домашних компьютеров. Актуальные данные свидетельствуют о том, что ситуация с тех пор не улучшилась.

Основная причина создавшейся ситуации заключается в том, что на сегодняшний день для защиты компьютеров от постоянно увеличивающегося числа вредоносных кодов уже недостаточно традиционных решений безопасности. Компьютер может быть заражен, а его пользователь - даже не подозревать об этом. «Многие пользователи и ИТ-менеджеры считают, что все решения безопасности одинаковы, и что наличия установленного традиционного антивируса вполне достаточно для обеспечения..

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки MIME медиа типов при проведении URI/URL загрузок с удаленного HTTP сервера в сценарии upload.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за недостаточного ограничения доступа к административной странице и возможно другим страницам приложения. Удаленный пользователь может с помощью специально сформированного значения "this_cookie" файла куки обойти механизм аутентификации и получить доступ к административной странице.

В настоящее время элитные академические заведения США сочли необходимым не только самим использовать программное обеспечение open source, но и обучать работе с таким ПО.

Студентам, занимающиеся по программе магистров делового администрирования (Master of Business Administration – MBA), Гарвардский университет предлагает ответить на вопрос, стоящий перед каждой компанией, ведущей технологичный бизнес: «Следует принять open source, или нужно бороться с ним?» «Открыть или не открывать исходники»? [To open source or not to open source?] При этом курс обучения подразумевает, что not open source – проигрышная стратегия. Это не означает, что сделать бизнес в open source легко. Но то, что open source – один из верных путей к успеху, показывает пример Red Hat, IBM, Zimbra и т.д.

Турции разоблачена преступная сеть, возглавляемая юристом-азербайджанцем Ниджатом Керимовым, незаконно снявшая посредством Интернет с почти что двух тысяч банковских счетов 7 миллионов лир (более 5 миллионов долларов).

Как передает Bakililar.AZ со ссылкой на APA, после того, как ряд организаций и частных лиц обратились в полицию с жалобами на пропажу с их счетов определенных сумм, правоохранительные органы занялись этим делом..

Команда немецких специалистов из института Макса Планка, проводившая исследования под руководством Джона-Дилана Хэйнса, экспериментальным путем доказала возможность предугадывания действий человека, еще до того, как он эти действия совершил.

Как сообщает Wired News, свои изыскания ученые обнародовали в воскресном номере журнала Nature Neuroscience. В ходе исследований группе испытуемых предлагалось принять решение о том, какой рукой нажать кнопку - левой или правой. Процессы, протекающие в это время в головном мозге, регистрировались при помощи магниторезонансного томографа и анализировались специализированным..

Согласно информации, обнародованной Управлением подотчетности правительственного аппарата США (Government Accountability Office), через интернет-аукцион eBay и сервис CraigsList без особых проблем можно приобрести краденое военное снаряжение и компоненты боевой техники американской армии.

Как Associated Press, американским правительственным чиновникам под видом обычных пользователей удалось приобрести через интернет компоненты истребителей F-14, которые сняты с вооружения армии США, но могут представлять интерес для иранских военных. Кроме того, чиновники смогли купить несколько комплектов униформы, специальные костюмы для защиты от химического и радиационного загрязнений, бронежилеты и приборы ночного видения...

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Весенний Кубок Рамблера пройдет в формате хакфеста «Стартап за 24 часа», в ходе которого участникам предстоит создать стартап всего лишь за одни сутки. Победители получат призы от спонсоров Кубка, а все команды успешно выполнившие задачу - почёт и уважение коллег, дипломы финалистов от Рамблера, а кроме того отличный проект в собственное портфолио. Лучшая команда, чей проект получит максимальное количество голосов членов жюри, будет награждена Кубком Рамблера...

Глава Департамента внутренней безопасности США Майкл Чертофф вчера вечером выступил на ИТ-конференции RSA Conference 2008 от лица правительства США. По его словам, за последние пару лет государственная ИТ-безопасность и безопасность физическая стали равнозначными понятиями, и все службы США уже уделяют и будут уделять в будущем все внимание обеспечению собственной информационной безопасности.

По его словам, правительство будет приравнивать скоординированные кибератаки на государственные и промышленные американские сети к физическому нападению, аналогичному атакам на башни-близнецы 11 сентября 2001 года..

Уязвимость позволяет удаленному злоумышленнику обойти ограничения безопасности на целевой системе. Уязвимость существует из-за того, что приложение устанавливает недостаточные ограничения на CFC методы. Атакующий, используя Flex 2 remoting, может получить доступ к CFC методам, даже, если уровень доступа установлен в "public".

Энтузиастам удалось запустить графическую оболочку Podzilla Linux-дистрибутива iPodLinux на дешевых mp3-плеерах Sansa e200.
Изначально проект iPodLinux задавался целью создания бесплатного и свободного Linux-окружения для плееров Apple iPod. Тогда на основе uClinux был создан дистрибутив iPodLinux с графической надстройкой Podzilla, включающей в себя множество приложений (терминал, просмотрщик изображений, видеоплеер и даже игры).
Теперь, как сообщил Себастьян Дюэль (Sebastian Duell), ведущий разработчик проекта SansaLinux, энтузиастам удалось запустить Podzilla на дешевых mp3-плеерах Sansa e200 (их цена составляет порядка 100-150 USD). Система SansaLinux пока работает только на оригинальных моделях Sansa e200 с объемом памяти от 2 до 8 ГБ и не поддерживает более новые устройства вроде Sansa Connect, что было выпущено в прошлом году.