Дыры в персональных брандмауэрах Norton Personal Firewall и BlackICE
 

Компания eEye Digital Security опубликовала несколько новых сообщений о дырах в популярных программных продуктах. На этот раз проблемы возникли у двух поставщиков персональных брандмауэров - программ, призванных оградить пользователей персональных компьютеров от нежелательных вторжений из интернета. Однако, как оказалось, и сами брандмауэры могут стать мишенью для хакеров, знающих уязвимые места данных программ.

Сообщение о дырах в программах RealSecure и BlackICE компании Internet Security Systems (ISS) было опубликовано 8 марта. Пока ISS не выпустила заплатку для дыры, на сайте eEye доступно лишь базовое описание уязвимости. В нем говорится, что дыра может использоваться анонимно и удаленно, что приводит к получению хакером наивысшего уровня доступа к системе. Уязвимость актуальна для всех версий RealSecure и BlackICE. По классификации eEye, дыра имеет высокую опасность.

9 марта eEye опубликовала информацию и о дырах в пакетах интернет-безопасности от компании Symantec. Брешь имеется в брандмауэре Norton Personal Firewall 2004 и включающих его пакетах Norton Internet Security 2004 и Norton Internet Security 2004 Professional. Дыра позволяет злоумышленнику удаленно организовывать DoS-атаку на уязвимую машину. Данная уязвимость также является высокоопасной. Подробности о ней станут известны после выпуска необходимой заплатки.

Ссылка

Новость через неделю - старость... Кстати, я писал, в чем заключается дыра в BlackIce (точнее мне писали, а я скопировал сюда).

Ты запостил такую тему? Тады дай линк на неё!

Про Нортона подробностей не публиковали пока, а про ЧерныйЛед http://imho.ws/showthread.php?s=&threadid=52352

Добавлено днем позже

Разобрался с дырой в Нортоне. Если суммировать, то это опять социальная инженерия - дыра в ActiveX, что бы сработала, нужно заманить юзера на специальный сайт или прослать письмо с вредным HTM кодом.

Мораль - не использовать мелкософтные майлеры (себе дороже), И НЕ БЫТЬ ДОВЕРЧИВЫМ!!!

А вот и описание дыры в BlacIce:

Появление нового червя - Witty.
После сообщения об уязвимости в продуктах ISS, использующих протокол ICQ (RealSecure, Proventia, BlackICE), о которой мы сообщали вчера, тут же появился новый червь использующий эту уязвимость. Антивирусные компании назвали его Witty (другие названия - Blackworm, Black Ice). Подробнейший анализ червя был сделан компанией LURHQ, позже об этом черве написали F-Secure, также анализ провёл господин Johannes Ullrich (или госпожа - не суть важно) из института SANS. Червь распространяется от произвольного IP-адреса (заражённой машины, естественно) от имени порта 4000/UDP (что естественно - именно по этому протоколу идёт обмен с ICQ-сервером). Червь является исключительно сетевым и не распространяется посредством почты. После заражения червь посылает себя по 20000 случайным IP-адресам. UDP-пакет, посылаемый червем содержит 1025 байт, однако информационную нагрузку несут первые 470 байт (тело червя), остальное - содержимое памяти, содержащееся после выполнения переполнения буфера. После отсылки своего текста червь перезаписывает 65К случайных данных на жёстком диске заражённой машины. Примечательно, что червь не записывает свой код на диск и уничтожается из памяти после перезагрузки системы. Что касается поведения BlackIce, то после заражения пользователю не удастся отключить его через опции иконки в системном трэе. Вместо этого выводится сообщение "Operation could not be completed. Access is denied". Выпущены правила для Snort для определения деятельности червя. Особую опасность представляет случай порчи данных на жёстком диске, что может привести к невозможности дальнейшего функционирования системы. Для предотвращения паразитного трафика в сетях рекомендуется перекрыть входящий трафик с портом источника 4000. Удручает, что пока ни одна российская антивирусная компания на своём сайте не сообщила об этом черве.

Wikidiwaem wse eto na pomoiku, stawim prawilnij firewall...

Правильный - это многослойный: первым - какой-либо юниксовый (т.н. железные в конечном счете относятся сюда же), потом - тот, который нравится на виндовой машине. И злой админ должен всегда незримо присутствовать!

Хелл
А какой правильный?