Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Аналитики китайской ИБ-компании Qihoo 360 рассказали, что майский патч для опасной проблемы CVE-2018-8174 в VBScript, которую можно было эксплуатировать через Internet Explorer, был неэффективен.
Напомню, что критический баг CVE-2018-8174 был обнаружен в апреле текущего года. Данная проблема оказалась опасной для всех версий Windows и, в сущности, являлась производной от уязвимости CVE-2016-0189, обнаруженной в составе VBScript еще два года назад. Хуже того, новая вариация старой уязвимости быстро обрела популярность среди злоумышленников. Так, эксплоит взяли на вооружение такие известные эксплоит-киты, как RIG и Magnitude.
Инженеры Microsoft выпустили исправление для CVE-2018-8174 еще в мае 2018 года, однако теперь стало известно, что патч был неэффективен. Специалисты Qihoo 360 пишут, что после релиза исправления им удалось обнаружить две дополнительные проблемы, о которых они незамедлительно сообщили разработчикам Microsoft. Новые баги были объединены под идентификатором CVE-2018-8242, и дополнительные «заплатки» для них появились в июле, так что теперь китайские исследователи получили возможность рассказать о найденных проблемах публично.
Специалисты Qihoo 360 подтверждают, что теперь проблема CVE-2018-8174, наконец, была устранена окончательно. Однако июльский «патч для патча» спровоцировал появление новой проблемы: утечки памяти. Исследователи подчеркивают, что эта утечка – исключительно вопрос производительности, но не безопасности.
Вместе с техническими деталями новых проблем эксперты Qihoo 360 опубликовали и своеобразное «обращение» к своим коллегам по цеху, напомнив всем ИБ-специалистам, что их работа не заканчивается с релизом исправления. После выхода патча необходимо провести аудит «заплатки» и убедиться, что исходная уязвимость была полностью устранена, а новое исправление ничего не «сломало» и не породило новые баги.
|
|