Обновлений будет много т.к. патчи, в пяти случаях, выпускаются для всех поддерживаемых версий Windows – XP (SP3), Vista (SP2) и 7, а также Server 2003 (SP2), Server 2008 (SP2) и Server 2008 R2 (SP1).

Статус Critical имеет только один бюллетень, остальные отмечены как Important. От этого конечно не легче, но радует то что вышел патч для уязвимости, используемой эксплойтом BEAST. Патч был анонсирован в прошлом году, но почему то не попал в декабрьский набор обновлений.

PS с утра жду «простыню» со списком обновок от WSUS-а…

Примечание: В Security Compliance Manager (SCM) собраны все рекомендации Microsoft в области безопасности. Все настройки имеют понятные описания и дополнены превосходной документацией.

Доступны следующие обновления:

• Windows 7 SP1 Security Compliance Baseline
• Windows Vista SP2 Security Compliance Baseline
• Windows XP SP3 Security Compliance Baseline
• Office 2010 SP1 Security Baseline
• Internet Explorer 8 Security Compliance Baseline

Загрузить обновления можно по ссылке.

Страница продукта - http://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx

Подробнее про исправленные проблемы написано на багтрекере. По мне так единственная интересная ошибка приводящая к CSS и вот эта

Users list ‘Change role to’ allows for changing logged-in Admin role to Subscriber

Все остальное не особо интересно

Согласно официальной информации файлов изменилось немного, вот их список

wp-includes/nav-menu-template.php
wp-includes/version.php
wp-includes/functions.php
wp-includes/user.php
wp-includes/functions.wp-styles.php
wp-includes/capabilities.php
wp-includes/script-loader.php
wp-includes/class-wp-admin-bar.php
readme.html
wp-admin/users.php
wp-admin/includes/dashboard.php
wp-admin/includes/update-core.php
wp-admin/includes/template.php
wp-admin/includes/ms.php
wp-admin/js/common.js
wp-admin/js/common.dev.js
wp-admin/load-scripts.php
wp-admin/press-this.php
wp-admin/about.php

Но уверен что в ближайшее время, после того как народ проанализирует изменения, необновленным блогам возможно будет не совсем хорошо

Обновляйтесь…

Мне в этом году повезло – под самый новый год свалился с температурой и кашлем…

Но это не отменяет самого праздника и приготовлений к нему.

Небольшое подведение итогов.

Что было интересного

Год прошел скучно, разве что единственное событие на профессиональном фронте – поездка на TechEd. Конечно мой встроенный скептицизм и мега оптимизм отметили это событие на твердую четверку, я надеюсь что в следующем году все же будет лучше.

Чему учился

Стыдно признаться, но кроме как на workshop-ы от премьер саппорта + недельный курс по VMWare я никуда не ходил. В части случаев приходилось бороться со сном, но на воркшопах были и интересные лабы. На одном из занятий сосед заметив что я сижу в админке поинтересовался относительно адреса, получив ответ что я автор он скачал что блог хороший и он периодически пользуется предоставленными материалами…

Чертовски приятно :)

Естественно, не обошлось и без самообучения (я это называю – само-мучение), в процессе было впитано масса материала по самым различным технологиям. Временами казалось что голова не в состоянии вмещать «вагон и маленькую тележку», но в процессе оказалось что она (голова) не только вмещает но и замечательно после этого работает.

Что делал

Работал. Отдохнуть по-человечьи в этом году не получилось. Помимо основной работы оказывал помощь коллегам, это несколько миграций доменов, одна миграция почтовой системы, пара аудитов безопасноти, был даже один пентест который закончился через 10 минут после начала т.к. систему можно было не ломать потому что все необходимое для получения привилегий было чуть ли не в открытом доступе.

Озадачился развитием блога. Как Вы заметили, у меня публикуются коллеги, но они не настолько многословны может это стеснительность или что то еще?

Процесс развития идет и в новом году я постараюсь публиковать не только больше полезного материала, но и надеюсь что «обратная связь» (писец выражение ) будет не такая как в этом году.

Отвлекаясь от темы скажу что за последние несколько месяцев влез в тему SEO и после плотного исследования был несколько озадачен потому что СЕОшники бывают двух типов:

• Первые это профессионалы которые знают что нужно и для чего нужно, и понимают как этого достичь.
• Вторые это монстры которые свято верят в то в заработать в интернете можно только по следующему алгоритму – сделал сайт – купил ссылок – накачал пипиську (надо же чем то мериться) – начал продажу ссылок.

Грустно то что вторые не осознают что занимаются созданием пирамиды которая кроме них никому не нужна. Меня прет от того что они пишут Дальше продолжать не буду потому что функция «нормальная критика» тут не применима и ничего кроме ругательств на ум не приходит…

Именно им мы обязаны огромным количеством ГС-ов (переводить не буду) которые мешаются в поиске и кроме рекламы ничего не содержат.

Хм. Я отвлекся…

Мой блог претерпел некоторые изменения и я надеюсь что читателю они понравятся.

Что планируется.

В новом году планируется много чего  Список приводить не буду, что бы не сглазить. Оставайтесь с нами и все увидите сами. Пока что могу сказать что будет несколько интересных и больших проектов на работе, наконец то куплю машину (давно созрел, были и возможности, но обстоятельства помешали).

С остальным палиться не буду… Что бы не сглазить.

Послесловие

Хочу выразить благодарность за хорошие и правильные комментарии к публикациям по PowerShell тематике Александру.

Хочу поблагодарить всех тех кто участвовал в обсуждениях.

Спасибо всем кто меня читал в этом году, надеюсь увидеть вас на блоге в новом 2012 году.

Отныне, согласно внесенным 7 декабря 2011 года, в статью 273 УК РФ поправкам, начиная с 8 декабря, любой пользователь ПК может быть привлечен к уголовной ответственности.

До текущего момента, согласно статье 273 УК РФ незаконным считалось использование и распространение вредоносных программ и к уголовной ответственности можно было привлечь только тех кто совершал хищение информации или его действия приводили к нарушению деятельности ПК. Согласно внесенным изменениям, незаконным будет считаться распространение ПО, предназначенного для нейтрализации средств защиты компьютерной информации, т.е. «патчи», «кейгены», «кряки» и прочая фигня.

Самое приятное в данной ситуации то что уголовную ответственность будут нести не только разработчики и распространители такого ПО, но и его конечные пользователи (все ломанулись удалять копроматы). Ответственность будут нести так же и те кто  размещают на различных порталах ссылки на ресурсы, где хранятся незаконные файлы.

Выдержка из УК РФ: Статья 273. Создание, использование и распространение вредоносных компьютерных программ (в редакции Федерального закона от 07.12.2011 № 420-ФЗ)

1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

Немного поработаю тов. Нострадамусом.

Ви-и-ижу….

Принятие закона нисколько не испугало пиратов, их ряды поредели, но они выжили и начали размножаться с новой силой. Их привычки изменились, они ушли из паблика в подполье. Они научились маскироваться под пользователей использующих лицензионное ПО, но их явки временами проваливаются и они с гордо поднятой головой, декабристы однако , едут в Сибирь убирать снег. Те которые уже вернулись из Сибири, повзрослев включили в процесс голову и купили лицензионный софт или ринулись осваивать свободное ПО.

Домашние пользователи отодвинули мониторы от окон и перестали пускать в комнату с компьютером не доверенных людей но в глубине души они еще помнят мужественных хакеров и надеются на их возвращение.

Если подходить к вопросу без иронии то все просто:

1. Как ломали так и будут ломать. Очень надеюсь что не долго…
2. Как распространяли так и будут. Просто будут аккуратнее. Опять же хочется что бы это было недолго

Почему так будет?
Ответ простой – у нас очень сильна любовь к халяве. Мы всегда стремимся получить как можно больше и как можно дешевле, желательно бесплатно.

Скажу просто – нехорошо воровать! Автор старался, творил. Разве он не достоин материального вознаграждения?
Да или нет?
Прежде чем ответить – подумайте, а вдруг на месте автора окажетесь Вы?

По сравнению с прошлым выпуском внесено 582 исправления.

Первое из улучшений, что бросилось в глаза, это видоизменившаяся закачка медиа материалов на сайт. В новой версии разработчики решили уйти от стандартного флешового загрузчика и используют новый на html5 и технологии Silverlight. Теперь обычным перетаскиванием (drug and drop) можно загрузить на сайт графические файлы. Удобно

Новый API для редактирования записей.

В админке можно использовать улучшенный HELP, тут появились всплывающие подсказки, новые  меню и оптимизированная панель администратора.

В стандартный набор включен пакет jQuery UI toolset. Что открывает довольно широкие перспективы для разработчиков.

PS Я уже обновился на нескольких площадках. Пока что проблем не обнаружено

Приступил к очередной модернизации «мордочки» и оптимизации кода (заменил один из плагинов на более компактный собственный код).

В данный момент добавлена поддержка Facebook комментариев, планируется оптимизация существующих комментариев.

Немного изменена форма социальных кнопок, в ближайшее время будет полностью переделана. Изменен алгоритм вывода счетчиков на главной странице.

_alex предлагает организацию отдельного ресурса для книг по ИТ-тематике. Идея хорошая, но надо подумать.

Ближайшее что запланировано для публикации:

• Продолжение публикации серии «Уроки PowerShell»
• Несколько заметок по анализу SQL сервера.
• К новому году, если допишу, будет заметка о выборах глазами ИТ-специалиста…
• Запланировано две статьи-заметки ориентированные на безопасность рабочих мест.

Кстати.

Начиная с понедельника у нас проходит ADRap (Active Directory Risk Assessment Program) и через неделю SCCMRap (System Center Configuration Manager Risk Assessment Program) в исполнении спецов из Microsoft Premier Support, если есть вопросы по данным тематикам пишите в комментариях, коли не смогу сам ответить то постараюсь задать вопросы специалистам.

Если быть точнее, в мой день рождения , будут 14 бюллетеней безопасности которые принесут заплатки нацеленные на различные уязвимости в самой ОС, браузере Internet Explorer и во всеми любимом пакете Microsoft Office.

В этот раз всего три критических обновления, остальные имеют статус как «важные».

Не забывайте что компания Adobe тоже подкинула обновок и их тоже надо ставить…

Update: Пользователи обеспокоенные известиями о «новом Stuxnet» (Duqu) и об инструменте BEAST (Browser Exploit Against SSL/TLS), могут спать спокойно т.к. после выхода декабрьского пачки обновок эти напасти более не будут представлять угрозы.

В этот раз имеется только один критический бюллетень и все заплатки касаются Windows Vista, Windows 2008, Windows 7 и 2008 R2.

Настораживает то что лидирует Remote Code Execution но раз его устраняют то можно спасть спокойно

Никак не ожидал такого наплыва посетителей по вопросу отмены обновления временных зон.

На данный момент сервер сильно перегружен (шаред хостинг) и временами вываливается в злобную картинку о том что сервен недоступен…

Прошу проявить терпение и зайти немного позже.

ЗЫ Одновременно активных сессий в данный момент от 15 до 85 (валится на 80-83).