Уязвимости в VLC, Adobe Flash, Python, Plone и Libxml2
Несколько новых уязвимостей:
Вышел релиз медиаплеера VLC 1.1.10, в котором кроме исправления накопившихся ошибок устранена уязвимость в коде xspf-демуксера ((XML Shareable Playlist Format), которая позволяет организовать выполнение кода злоумышленника при открытии специально оформленных плейлистов в формате xspf;
Вышло обновление Adobe Flash Player 10.3.181.22 в котором устранена уязвимость для которой в сети уже были зафиксированы факты успешных атак на пользователей. Уязвимость позволяет организовать выполнение JavaScript-кода в браузере в контексте другого сайта (универсальный межсайтовый скриптинг через Flash).
Вышел корректирующий релиз Python 2.6.7 в котором устранено несколько незначительных уязвимостей: Устранена возможность совершения XSS-атак в модуле SimpleHTTPServer; В urllib и urllib2 добавлено игнорирование перенаправлений, если схема URL отлична от HTTP, HTTPS и FTP (можно было выполнить редирект на локальный файл); Устранена возможность совершения DoS-атаки через smtpd.py;
В hotfix-выпуске системы управления web-контентом Plone 20110531 устранены три уязвимости, среди которых две проблемы позволяют совершить XSS-атаки, а одна проблема дает возможность аутентифицированному пользователю CMS обойти ограничения доступа и отредактировать параметры других пользователей (например, поменять пароль администратора).
В коде обработки наборов узлов XPath в библиотеке Libxml2 найдена опасная уязвимость, позволяющая организовать выполнение кода злоумышленника при обработке специально оформленного XPath-кода в приложении, использующем Libxml2.