Первые патчи для уязвимости нулевого дня приложений от Adobe Acrobat и Reader, чье использование злоумышленниками компания подтвердила, были выпущены. Исходная проблема заключалась в повреждении памяти при обработки файлов Universal 3D (U3D), что потенциально могло дать злоумышленнику возможность получить контроль над пострадавшей системой. Выпущенные патчи также предназначены для недавно обнаруженной критической проблемы (CVE-2011-4369), которая могла вызвать повреждение памяти при обработке файлов Product Representation Compact (PRC) 3D.

Сейчас Adobe выпустил обновление для Adobe Reader 9.x для Windows и Acrobat 9.x для Windows. Обновление можно установить, выбрав Help ➤ Check for Updates в любом приложении. Также возможно ручное скачивание Reader 9.4.7 и Acrobat 9.4.7. В этот раз Adobe не выпускает обновления для Reader X или Acrobat X потому что, по словам компании, защитные технологии, встроенные в эти продукты предотвращает любое использование уязвимостей. Исправленные версии этих приложений буду выпущены в рамках следующего ежеквартального обновления 10 января 2012 года, наряду с обновлениями для версий под Unix и Mac OS X.

.

Источник:  http://www.h-online.com/security/news/item/Adobe-closes-Acrobat-and-Reader-security-holes-1397440.html

Разработчики Recurity Labs работают над реализацией OpenPGP на JavaScript. На данный момент, прототип GPG4Browsers доступен в качестве расширения Google Chrome и может использоваться с почтовым сервисом Google. Расширение позволяет пользователям шифровать и дешифровать почту, добавлять и проверять подписи, а также импортировать и экспортировать сертификаты.

Тем не менее, в отличии от GNU Privacy Guard (GnuPG), в настоящее время программное обеспечение не предлагает никакого сжатия данных; разработчики предлагают, чтобы для создания совместимых с GPG4Browsers сообщений с помощью GnuPG, пользователи добавляли опцию -compress-algo none. Исходный код GPG4Browsers доступен как в качестве ZIP-архива или из репозитория Subversion и лицензируется под GNU Lesser General Public License (LGPL) 2.1. Те кто хочет отслеживать его развитие, могут получить доступ к репозиторию Subversion.

.

Источник:  http://www.h-online.com/security/news/item/OpenPGP-in-browsers-1381905.html

Открытая CMS Joomla! была обновлена после ошибки в генерации случайных чисел, которая, как выяснилось, позволяла злоумышленникам через сброс пароля изменять пароль пользователя. Подвержены опасности версии 1.5.x, 1.6.x и 1.7.x. Joomla! 1.5.25 и 1.7.3 выпущены с целью исправить проблему, описанную разработчиками как «высоко опасную». Другие проблемы с безопасностью в 1.7.x включают некорректную фильтрацию неопределенного поля, которая может быть использована для межсайтогового скриптинга (XSS) тоже исправляются.

Версии веток 1.5.x и 1.7.x до 1.5.24 и 1.7.2 включительно подвержены опасности, как и вся ветка 1.6.x. Обновление также предназначено для 70 не связанных с безопасностью ошибок. Всем пользователям рекомендуется обновиться. Больше информации о обновлении можно найти в объявлениях о выходе  1.5.25 и 1.7.3, а также в рекомендациях Joomla! По безопасности. Joomla! 1.5.25 и1.7.3 доступны для скачивания на сайте проекта. Joomla! лицензируется по GPL и спонсируется некоммерческой организацией Open Source Matters, Inc.

.

Оригинал: http://www.h-online.com/security/news/item/Joomla-updates-close-security-holes-1379162.html

Выпущены версии FFmpeg 0.5.5, 0.7.7 и 0.8.6. Обновление предназначено для исправления ряда ошибок и дыр в безопасности, обнаруженных в предыдущих релизах, некоторые из которых признаны серьезными.

Как сказано в новости на странице проекта, обновления 0.7.7 и 0.8.6 исправляют «около 90 ошибок», закрыв несколько дыр в безопасности системы. Тем не менее, подробной информации о том, какие именно дыры исправлены, не дается. Обновление FFmpeg 0.5.5 продолжает ветку 0.5.x и исправляет «много серьезных проблем с безопасностью». К ним относятся уязвимости к отказу-в-обслуживании (DoS), проблема разрушения памяти и проблема распределения памяти, которые могут привести к исполнению произвольного кода при открытии вредоносного файла.

Полный список исправлений и изменений можно найти в журналах изменений 0.5.5, 0.7.7 and 0.8.6. Версии 0.5.5, 0.7.7 и 0.8.6 доступны на странице проекта Get FFmpeg. Всем пользователям рекомендуется провести обновление. Разработчики рекомендуют дистрибьюторам и системным интеграторам обновить до веток 0.7.x и 0.8.x текущий мастер git.

.

Подробности:  http://www.h-online.com/security/news/item/FFmpeg-updates-fix-security-vulnerabilities-1375826.html

Серьезная дыра в безопасности eBay.de позволяет злоумышленникам похищать cookie других пользователей и получать контроль над их учетными записями. Похоже, что эта уязвимость не затронула другие национальные сайты eBay.

На одной из подстраниц онлайн-аукциона, перед возвратом части страницы, недостаточно проверяется параметр URL.что делает ее уязвимой к межсайтовому скриптингу (XSS). Злоумышленники могут сгенерировать ссылку на eBay.de, которая, при вызове, выполняет связанный с немецким доменом eBay произвольный код JavaScript.

Это позволило потенциальным злоумышленникам читать cookie и передавать их на сторонний сервер. Дыра была обнаружена читателем heise Security Даниелем Спарка. Партнеры H в heise Security сказали, что когда Спарка сообщил eBay о дыре через контактную форму сайта, то компания просто отослала ему стандартный ответ, посоветовав удалить временные файлы браузера Работки поддержки eBay по видимому думал, что сообщение об уязвимости было связано с системой клиента. После этого Спарка связался с heise Security.

В беседе с heise Security, eBay подтвердил эту проблему и перевел затронутые страницы в автономный режим в течении 24 часов после разговора.

.

Источник:  http://www.h-online.com/security/news/item/Potential-account-theft-with-XSS-hole-in-eBay-de-1320908.html