Компания Apple выпустила обновление компонента Java для операционной системы MacOS X, в которой исправлены две критические ошибки. Старая версия Java позволяла выполнить вредоносный код с помощью специально подготовленных веб-страниц. Ошибки были в компоненте прорисовки окон на Java и в библиотеке mediaLibImage. Злоумышленники могли с помощью специальных параметров вызвать переполнение буфера и нарушение работы динамической памяти, что и позволяет исполнить посторонний код. Для исключения подобных атак рекомендуется установить выпущенные компанией обновления.

Компания IBM выпустила обновления к своему продукту IBM WebSphere Application Server, в котором исправлено четыре ошибки. В частности, при использовании длинных имен файлов посторонние могут переписать существующие в системе файлы не имея на это полномочий. Кроме того, можно выполнять переполнение памяти с помощью специально подготовленных запросов, посланных в компонент Deployment Manager. Также уязвимую систему можно было вывести из строя специальным GET-запросом или обойти ограничения безопасности из-за уязвимости в WebServices PKIPath. Для закрытия всех этих дыр рекомендуется установить выпущенные IBM исправления.

В FTP-сервере, который поставляется вместе с операционной системой Sun Solaris, обнаружена ошибка, которая позволяет постороннему пользователю исполнять некоторые команды от чужого имени. Для этого можно использовать слишком длинные команды, которые воспринимаются сервером как последовательность несвязанных между собой команд. Длинные команды могут быть вставлены в ссылки, переход по которым и позволяет выполнять неучтенные команды в контексте сессии другого пользователя. Такие атаки могут быть направлены на получение неаторизованного доступа к ценной информации. Исправлений для данной уязвимости пока нет, не рекомендуется переходить по ссылкам, полученным из ненадежных источников.

Поделитесь материалом с коллегами и друзьями