Компания Blue Security, разрабатывающая системы предотвращения спама, отказалась от ответного удара по спамерам после того, как те устроили атаку «отказ в обслуживании» ее серверам.

Blue Security предложила добровольцам, желающим активно бороться со спамом, присоединиться к «Реестру «Не вмешиваться», в который записались порядка 450 тысяч человек. Им была предложена программа «Blue Frog» («синяя лягушка»), которая при получении спама отправляет письмо с отказом от участия и запрос на сайт об отказе сразу со всех компьютеров участников. В апреле спамеры отреагировали на усилия компании угрожающими письмами, в том числе, и в адрес пользователей-участников. Затем на серверы компании была совершена массированная атака «отказ в обслуживании». По данным Blue Security, русскоязычный спамер по прозвищу PharmaMaster подкупил персонал провайдера высшего уровня, к которому подключена Blue Security, для блокирования IP компании на магистральных маршрутизаторах. Так сайт перестал быть виден за пределами своей родины – Израиля. После того, как сайт изменил настройки и направил пользователей на свой блог, bluesecurity.blogs.com PharmMaster устроил «отказ в обслуживании» и ему, параллельно засорив канал Six Apart, владельца блог-хостингов TypePad и LiveJournal. Сложная атака также парализовала деятельность пяти провайдеров США и Канады «первого слоя», а также крупного провайдера системы доменных имен, на несколько часов.

В компании считают, что PharmaMaster нанял для атаки ботнет – сеть компьютеров-зомби. Общаясь по ICQ с персоналом компании, он сказал, что если не сможет отправлять спам, тогда не будет и интернета. Из-за риска продолжения атак компания отказалась от своей затеи по активной защите. «Это единственный способ прекратить крупномасштабную кибервойну», - сказал исполнительный директор Эран Решеф.

В новой версии Microsoft Word, входящей в состав Microsoft Office 2007, появится возможность делать посты в блог прямо из приложения. Данная функциональность будет включена в релиз Microsoft Office 2007 Beta 2, выход которого запланирован на конец мая 2006 года, выпуск готового продукта ожидается в январе 2007 года.

По словам ведущего менеджера команды разработчиков Word, Джо Френд использование текстовых веб-редакторов лишает пользователя богатой функциональности, которая присутствует в Microsoft Word, в том числе и проверки орфографии. В приложении Word появится специальная панель Blog Post tab, которая позволит пользователям отправлять пост прямо из программы, на панели также будут находиться кнопки для форматирования текста. Кроме того, Word будет автоматически конвертировать находящуюся в тексте графику в формат .png и загружать изображения на сервер. В бета-версии продукта встроена поддержка для блогов MSN и Google. Пользователи смогут вручную добавить поддержку остальных блогов, например LiveJournal, с помощью Metaweblog API или ATOM API. В настоящее время есть плагин Blogger for Word, обладающий аналогичной функциональностью.

Удаленный пользователь может произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в сценарии “/cgi-bin/cleanhtml.pl”. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в пространстве имен XML xsl в сценарии “/cgi-bin/cleanhtml.pl”. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта.

В ночь со 2 на 3 мая на восемь часов стали недоступными более 10 миллионов онлайновых дневников на ресурсах LiveJournal и TypePad. Произошло это из-за атаки злоумышленниками серверов компании Six Apart, владеющей этими популярными блог-сервисами.

Вице-президент Six Apart Энил Дэш заявил, что у компании есть догадки о мотивах, двигавших злоумышленниками, однако посвящать общественность в подробности он не пожелал. В правоохранительные органы компания пока не обращалась. Six Apart планирует предоставить блоггерам компенсацию за сбой в работе ресурсов. Однако каким образом будет возмещаться ущерб, пока не решено. Возможно, владельцы блогов получат возможность самостоятельно выбирать вид компенсации.

В январе прошлого года пользователям Live Journal уже приходилось поволноваться - онлайновые дневники были недоступны в течение суток. Тогда причиной сбоя в работе стало внезапное массированное отключение энергии, отказали даже резервные источники питания. Команде техподдержки удалось восстановить работоспособность “упавших” баз данных, хотя записи в блогах, сделанные непосредственно перед “падением” ресурса, были утрачены безвозвратно.