0-day уязвимость в IE столкнула Microsoft и Google
Главная » Новости

0-day уязвимость в IE столкнула Microsoft и Google

Ксения Ренселаева 04 Января 2011 - 14:53
...

На днях исследователь в области безопасности компании Google опубликовал в сети свою разработку, предназначенную для тестирования обозревателей на наличие уязвимостей, чем вызвал негодование в компании Microsoft.

Исследователь в области безопасности Google Михал Залевки, опубликовал свою утилиту cross_fuzz, с помощью которой он идентифицировал более 100 критических ошибок в веб-браузере Internet Explorer, в том числе уже известную, но еще незакрытую уязвимость. Напомним, что ошибка заключается в некорректном срабатывании компоненты mshtml.dll, которая может привести к сбою работы целевой системы.

В июле прошлого года, г-н Залевски, отправив программу в Microsoft, сообщил, что намерен опубликовать ее в январе этого года.

Однако, из-за досадного недоразумения, ему пришлось сделать это немного раньше.

Дело в том, что все файлы программы и результаты тестов упомянутой ошибки хранились на сервере. Но, файлы, случайно, были проиндексированы поисковой машиной Google, в результате чего попали в глобальную сеть. Первого января, он обнаружил, что доступ к ним получили лица, использующие китайские IP адреса, о чем известил Microsoft. Стоит заметить, что последние, после того как стало об уязвмимости, просили разработчика не публиковать програму до выхода обновления для обозревателя.

Помимо Internet Explorer, утилита способна определять наличие критических ошибок и в других веб-брузерах, например Opera и Firefox. Об этом разработчк упомянул в своем обращении к компании, сообщив, что подобные уязвимости, найденные в упомянутых приложениях, давно были устранены.

В Microsoft же полагают, что ошибка в IE не сопоставима с уязвимостями в других обозревателях, так как использовалась старая версия утилиты. Кроме того, случаев эксплуатации этой ошибки выявлено не было, да и жалоб от пользователей не поступало. Однако работы по устранению ошибки ведутся и патч планируется выпустить 11 января.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышел Kali Linux 2025.2: обновлённый интерфейс и 36 новых инструментов
Екатерина Быстрова 17 Июня 2025 - 12:59
Домашние пользователи Системы для анализа защищенности информационных системСредства тестирования на проникновениеАудит информационной безопасности
Вышел Kali Linux 2025.2: обновлённый интерфейс и 36 новых инструментов

Вторая сборка Kali Linux в этом году — версия 2025.2 — уже доступна для загрузки. В ней появилось немало полезного: обновлённый интерфейс, переработанное меню, расширенный набор для тестирования автомобильных систем и десятки новых инструментов для пентеста и анализа инфраструктур.

Основные изменения

CARsenal вместо CAN Arsenal. Набор утилит для автопентеста переименовали в CARsenal — новое название лучше отражает суть. Интерфейс стал удобнее, а благодаря симулятору ICSim теперь можно тренироваться и без реального оборудования.

Новые инструменты

В релиз добавили 36 новых утилит. Среди них:

Также добавлены предсобранные бинарники для ligolo-ng и chisel, утилиты для прошивок, LDAP-сканирования и многое другое.

Меню и интерфейс

Главное меню Kali полностью переработали — теперь оно структурировано по фреймворку MITRE ATT&CK. Это должно упростить поиск нужных инструментов и сделать систему удобнее для обеих сторон — и защитников, и атакующих. Старое меню тянулось с времён WHAX и BackTrack, и масштабировать его было сложно.

На сайте Kali обещают, что в будущем инструменты начнут также группироваться по этой логике и на kali.org/tools.

 

GNOME и KDE

  • GNOME обновлён до версии 48: переработка уведомлений, тройная буферизация, улучшения производительности, поддержка HDR, новые темы и замена Evince на Papers.
  • KDE Plasma теперь версии 6.3: улучшено масштабирование, более точные показатели CPU и батареи, обновлённый Info Center и новые опции кастомизации.

Обновления Kali NetHunter

  • Поддержка TicWatch Pro 3: теперь доступны wireless injection, деаутентификация и захват WPA2 handshakes.
  • Обновлены и добавлены ядра NetHunter для устройств Xiaomi, Realme и Samsung.
  • А ещё показали тизер Kali NetHunter KeX на Android Auto — пока только демонстрация, но идея уже на подходе.

Как установить или обновиться

Если Kali уже установлен, достаточно выполнить:

sudo apt update && sudo apt -y full-upgrade

А для новой установки — можно скачать ISO-образ с официального сайта проекта. Если используешь Kali в WSL, желательно перейти на WSL 2 для полноценной поддержки графики.

Обновление получилось внушительным: новое меню, удобнее работа с автотестами, десятки полезных утилит и современный интерфейс. Если работаешь в области ИБ или исследуешь безопасность — определённо стоит попробовать.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
УБК МВД предупредило о новой схеме мошенников с полисами ОМС
Новость
УБК МВД предупредило о новой схеме мошенников с полисами ОМС
Новая дыра в macOS: libAppleArchive позволяет обойти Gatekeeper
Новость
Новая дыра в macOS: libAppleArchive позволяет обойти Gatekee...
Вышла Kali Linux 2025.1a: обновления, новая тема и hoaxshell
Новость
Вышла Kali Linux 2025.1a: обновления, новая тема и hoaxshell

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.