Компания Apple выпустила исправления для своего медиаплеера Quicktime. В них исправлено три ошибки, которые допускали переполнение буфера с помощью специально подготовленных мультимедийных файлов, что создавало опасность исполнения с помощью этих файлов вредоносных кодов, полученных по электронной почте или из Web. Для одной из исправленных ошибок был опубликован эксплойт.

Ссылки:
Apple выпустила исправления к медиаплееру Quicktime

В популярном медиаплеере Winamp обнаружена ошибка переполнения буфера, которая возникает при обработке метаданных Ultravox. С помощью слишком длинных полей "" и "" злоумышленник может добиться исполнения вредоносного кода. Ошибка исправлена в версии 5.52.

Ссылки:
Переполнение буфера в Winamp

Комапния Oracle выпустила январский набор исправлений для своих продуктов Database, Application Server, Collaboration Suite, E-Business Suite and Applications, Enterprise Manager и PeopleSoft Enterprise и JD Edwards EnterpriseOne. Среди ошибок для Application Server, E-Business Suite and Applications и PeopleSoft Enterprise есть те, которые можно эксплуатировать удаленно без предварительной авторизации.

Ссылки:
Oracle Critical Patch Update Advisory - January 2008

Специалисты Microsoft предупреждают о присутствии в ряде версий Excel уязвимости, позволяющей злоумышленнику с помощью специально подготовленного файла электронной таблицы запустить на компьютере жертвы посторонний код. В Microsoft сообщают, что хакеры в курсе наличия данной дыры и уже начали ее использовать. Брешь присутствует в Excel 2003 Service Pack 2, Excel Viewer 2003, Excel 2002 и Excel 2000, а также в Excel 2004 для компьютеров Apple.

Атака может быть организована различными способами: путем отправки потенциальной жертве сообщения электронной почты с прикрепленным файлом или посредством размещения файла Excel на сайте. Сроки выпуска заплаты в Microsoft пока не называют.

Пользователям Office 2003 для защиты рекомендуется обрабатывать подозрительные файлы с помощью MOICE (Microsoft Office Isolated Conversion Environment), бесплатной утилиты, преобразующей документы формата Office 2003 в более защищенный формат Office 2007. Администраторам также предлагается возможность включить блокировку всех файлов Office 2003 и более ранних форматов с помощью функции File Block, активизация которой возможна посредством модификации реестра или настроек политик пользовательских групп.
Служба информации OSP

Ссылки:
Брешь в Excel позволяет брать под контроль чужие компьютеры

Фирма Digital Armaments, специализирующаяся на исследованиях в области информационной безопасности, предлагает приз в размере 20 тыс. долл. за сведения о не опубликованных уязвимостях в Windows. Конкурс действует до 29 февраля. Претендентам необходимо представить на суд специалистов компании работоспособный эксплойт с документацией. Компания также принимает сведения о дырах в приложениях для Windows. На сайте Digital Armaments нет ни номера телефона, ни адреса компании, а сам сайт содержит немало орфографических ошибок. Победителям конкурса фирма обещает заплатить "либо деньгами, либо акциями или "кредитами", которые можно обменять на акции".
Служба информации OSP

Ссылки:
20 тыс. долл. за уязвимости Windows

В компании Secunia подготовили статистику по уязвимостям, обнаруженным в различных программных продуктах в 2007 году. Согласно опубликованному Secunia докладу, шестерка компаний-"лидеров" по уязвимостям среди поставщиков антивирусов выглядит следующим образом: CA - 187 ошибок, Symantec - 73, Trend Micro - 34, ClamAV - 15, McAfee - 13, F-Secure - 6. Составители отмечают, что высокие показатели CA и Symantec связаны с широтой ассортимента предлагаемых каждой из них средств безопасности.

Для операционных систем "рейтинг" выглядит следующим образом: Red Hat Linux - 633 ошибки, Solaris - 252, Mac OS X - 235, Windows - 123, HP-UX - 75. По словам авторов доклада, высокое количество ошибок в Red Hat Linux обусловлено большой численностью компонентов, включенных в различные дистрибутивы компании.

Ситуация с браузерами: Firefox - 64 ошибки, Internet Explorer - 43, Opera - 14, Safari - 14.

В Secunia подчеркивают, что оценивать степень защищенности программных продуктов следует не по количеству обнаруженных ошибок, а по скорости их исправления.
Служба информации OSP

Ссылки:
В Red Hat Linux больше ошибок, чем в Windows