Семоникс ИТ-консалтинг

9 июля 2009 года была обнаружена ошибка в компиляторе JavaScript, которая приводит к аварийному завершению браузера. В тот же день был создан тестовый пример для воспроизведения ошибки, а 13 июля milw0rm выпустили эксплоит, позволяющий выполнить любую команду на компьютере жертвы: http://milw0rm.com/exploits/9137

Официального патча пока нет. Можно скачать бета-версию браузера, в которой уязвимость уже исправлена: ftp://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.5.1-candidates/, либо в качестве временной меры можно отключить JIT:

1. Введите в строке браузера about:config и нажмите Enter
2. В строке Filter введите jit
3. В получившемся списке найдите параметр javascript.options.jit.content и  установите значение в false

Работа JavaScript замедлится, но ваш бразуер больше не будет подвержен уязвимости.

Microsoft уже отреагировала на данную уязвимость, и Microsoft Forefront блокирует попытки запуска программ с помощью эксплоита.

Найден мертвым директор индийской компании LxLabs. Предположительно он совершил самоубийство, после того как в результате использования zero-day эксплоита были уничтожены данные более чем 100.000 сайтов под управлением продукта HyperVM компании LxLabs.

Сильно пугаться не надо. HyperVM это не технология виртуализации, такая как VirtualBox, Xen, VmWare или Hyper-V, а всего лишь набор скриптов для управления вышеупомянутыми виртуальными машинами.

Часть уязвимостей были обнаружены давно и достаточно тривиальны. Например:

• пароли “pass” и “admin” для административных аккаунтов;
• привязка сессии к IP адресу пользователя (привет тем, кто за NAT);
• возможность проведения DoS атаки многократными подключениями к порту 7776;
• SQL-инъекции.

Остальное - в том же духе.

Подробности  - milw0rm

Спросите у своего хостинг-провайдера, что  у него используются для управления виртуальными серверами?

(c) Semonix