»

Pisci Linuxa najhitreje krpajo luknje

Google Project Zero - Raziskovalci iz Googlovega Project Zero ugotavljajo, da je Linux programsko okolje, kjer se najhitreje zakrpajo odkrite ranljivosti. Če to privzamemo kot merilo za varnost operacijskega sistema, Linux odločno prehiti Windows in macOS. Najslabše se je odrezal Oracle, ki je v povprečju potreboval 109 dni, da je zakrpal odkrite in prijavljene hrošče. Linuxu, ki resnično odstopa, sledita Mozilla in Google.

V okviru Projecta Zero, ki sodi pod Googlovo okrilje, strokovnjaki iščejo ranljivosti v pogosti programski opremi in nanje proizvajalca odgovorno opozorijo. To pomeni, da mu dajo na voljo 90 dni, da luknje zakrpa. Če se ne zgodi nič, začne teči dodatni 14-dnevni rok, nato pa odkrito ranljivost javno priobčijo na spletu. V takem primeru lahko ranljivost začno izkoriščati tudi zlonamerni igralci, kar predstavlja velik in skrajni pritisk na proizvajalca, da luknjo vendarle odstrani.

Gogole Project Zero je v letih 2019-2021 odkril 376 ranljivosti. Od teh jih je bilo 93,4 odstotka...

9 komentarjev

Zaradi ranljivosti v Exchange Serverju Microsoft izdal izredne popravke

Slo-Tech - Microsoft je teden dni pred rednim mesečnim paketom popravkov izdal izredne popravke za Exchange Server, ki odpravljajo štiri resne ranljivosti, ki jih zlonamerni hekerji iz tujine že izkoriščajo. Izredna izdaja popravkov je redek pojav, ki vsakokrat priča o resnosti ranljivosti, ki terja takojšen odziv. To pot so prizadeti Microsoft Exchange Server 2013, 2016 in 2019, v katerih tičijo ranljivosti CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.

Omenjene ranljivosti izkorišča več hekerskih skupin, med katerimi Microsoft izpostavlja Hafnium, ki delujejo iz Kitajske in so domnevno specializirani za krajo podatkov ameriških podjetij, raziskovalnih inštitucij, nevladnih organizacij in državnih agencij. Microsoft pravi, da ima Hafnium najete virtualne strežnike v ZDA, s katerih napadajo. Vdori naj bi potekali že dlje časa, a ker so doslej kradli v glavnem elektronsko pošto, dlje časa ni nihče opazil, kaj se dogaja. Šele nedavno so začeli bolj rovariti po kompromitiranih...

3 komentarji

Ranljivost v iOS je omogočala prisluškovanje prek Wi-Fi brez interakcije uporabnika

Slo-Tech - Spomladi (še pred vgraditvijo sistema za slednje stikom prek stalno vključenega Bluetootha) je Apple zakrpal ranljivost v operacijskem sistemu za svoje mobilne telefone iOS, ki je omogočala dostop do vsebine telefonov zgolj ob vključenem Wi-Fi, ne da bi uporabnik kakorkoli posredoval. Ranljivost je odkril Ian Beer, ki je zaposlen v Googlovem oddelku za iskanje ranljivosti Project Zero. Sedaj ko je ranljivost že lep čas zakrpana, je podrobnosti razkril na blogu podjetja.

Za napad je dovolj, da se sprehodimo mimo oddajnika Wi-Fi (torej praktično katerakoli mobilna naprava), ki nam posreduje ustrezno pokvarjen paketek (packet of death). Ranljivost se skriva v gonilniku AWDL, ki skrbi za omrežno povezljivost v Applovih napravah. Ker gonilniki bivajo v jedru, kjer imajo najvišje privilegije, so hrošči v njih tako nevarni. AWDL skrbi tudi za Wi-Fi, zato je to ranljivost možnost uporabiti na daljavo in - temu pravimo wormable - širiti od naprave do naprave. Beer je pokazal, kako lahko ranljivost uporabo v različne namene. Oblikoval je delujoče primerke kode, ki so kradli elektronsko pošto, fotografije, sporočila, gesla in celo ključe. Zadostoval je Raspberry Pi in Wi-Fi adapter, nato pa je trajalo le nekaj sekund in naprave v...

45 komentarjev

Google odkril ranljivost v Windows in jo (pre)hitro pokazal

Slo-Tech - Google je pred tednom dni sporočil, da je v Windows odkril ranljivost (CVE-2020-17087), ki jo hekerji že aktivno izkoriščajo, zato je Microsoftu dal na razpolago le sedem dni za zakrpanje. Microsoft tako kratkega roka ni izpolnil, zato je Google v v petek zvečer razkril podrobnosti ranljivosti. Ta je nezakrpana (0-day), aktivno napadana in sedaj povsem razkrita. Microsoft bo popravek izdal ob naslednji priložnosti, to je drugi torek v mesecu (10. novembra) na tako imenovani Patch Tuesday.

Googlov Project Zero je namenjen iskanju ranljivosti v najrazličnejši programski opremi več proizvajalcev. O odkritih ranljivostih obvestijo proizvajalca, ki ima potem 90 dni časa, da izda popravek. Google po izdaji popravka ali najpozneje v 90 dneh javnosti razkrije podrobnosti ranljivosti, s čimer se poskrbi, da imajo proizvajalci motivacijo v doglednem času izdelati popravek. Roki pa se spremenijo, ko je ranljivost že aktivno zlorabljena. V tem primeru Google počaka le sedem dni, kar v...

22 komentarjev

Google spet razkril nezkrpano ranljivost v Windows

Slo-Tech - Google je ponovno ujezil Microsoft, saj je spet razkril podrobnosti o varnostni luknji, preden je Microsoft pripravil in izdal popravek zanjo. To se načeloma ne počne, a če proizvajalec luknjičaste programske opreme ne reagira na opozorila o luknji, je to sprejemljiva poteza. Google in Microsoft sta se že pred dvema letoma pregovarjala, ali je 90 dni dovolj dolgo obdobje, da bi proizvajalec moral pokrpati luknje. Google vztraja pri brezpogojnem spoštovanju tega lastnega roka, zato njegovi raziskovalci po 90 dneh od obvestila proizvajalcu luknjo razgrnejo javnosti, medtem ko Microsoft poudarja, da stvari niso črno-bele. Pred tremi meseci se je zgodilo isto in spet je Microsoft tarnal, da se Google obnaša grdo.

To pot se je zgodilo podobno. Google je razkril...

9 komentarjev

Google odkril in po dobrem tednu objavil ranljivost v Windows, Microsoft nejevoljen

Google - Google in Microsoft sta se spet zapletla v besedno vojno glede razkrivanja nezakrpanih ranljivosti. V Mountain Viewu že leta zagovarjajo pristop, da je treba javljene ranljivosti zakrpati takoj ali najpozneje v sedmih dneh, kadar se aktivno izrabljajo, medtem ko se Microsoftu ne mudi tako zelo.

Google je pred poldrugim tednom (21. oktobra) Microsoft in Adobe obvestil, da v Flashu in jedru Windows obstajata kritični ranljivosti. Adobe je hitro reagiral in 26. oktobra luknjo zakrpal v posodobitvi za Flash, Microsoft pa ne. Ker je ranljivost resna, saj omogoča eskalacijo privilegijev pri uporabi Chroma in s tem pobeg iz varnega peskovnika, je Google včeraj javno objavil podrobnosti o ranljivosti. S tem želi pritisniti na Microsoft, da ta čim hitreje izdela...

28 komentarjev

Google rahlo omilil politiko razkrivanja ranljivosti

Google - Google je v novi različici politike razkrivanja ranljivosti nekoliko omilil časovne roke, ki so v začetku tega leta povzročili veliko hude krvi. V okviru Projecta Zero je namreč Google našel ranljivosti v Microsoftovi in Applovi programski opremi, o čemer je proizvajalca obvestil. Ko v 90 dneh popravkov ni bilo, je Google v skladu s svojo politiko podrobnosti ranljivosti javno razkril, kar je hudo razburilo Microsoft in Apple. Microsoft je na primer imel popravek že bolj ali manj končan in je čakal še zadnje faze testiranja pred izdajo, kar so Googlu sporočilu, a so bili v Mountain Viewu neomajni; 90 dni je dovolj za vsakogar.

Sedaj so pri Googlu vendarle nekoliko omilili svojo politiko. Še vedno vztrajajo pri 90-dnevnem roku za razkrivanje ranljivosti, kar...

4 komentarji

Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Ars Technica - Google nadaljuje svojo politiko brezkompromisnega objavljanja podrobnosti o varnostnih pomanjkljivostih in ranljivostih v tuji programski opremi, ki je minuli teden zanetila spor med Googlom in Microsoftom. Obelodanili so detajle še dveh ranljivosti, ki se pojavljata v Windows 7 (obe) in Windows 8.1 (samo ena). Microsoft ni navdušen.

Ključno vprašanje je definicija odgovornega razkritja. Google vztraja pri 90-dnevnem roku od obvestila proizvajalcu ranljive programske do javnega razkritja. Obstoj roka je razumljiv, saj s tem neodzivnega proizvajalca prisilijo v zakrpanje luknje. A Microsoft še ni neodziven, le nekoliko počasen je.

Google se je odločil, da bo lasten 90-dnevni rok brezpogojno spoštoval, ne glede na okoliščine in zagotovila proizvajalcev....

34 komentarjev

Google in Microsoft pri krpanju lukenj s prstom kažeta drug na drugega

Slo-Tech - Google in Microsoft nadaljujeta obmetavanje z razkrivanjem ranljivosti in obtoževanje, kdo slabše skrbi za svoje uporabnike. Začel je Google, ki je konec decembra javno razkril podrobnosti o ranljivosti v Windows 8.1, še preden je Microsoft uspel zakrpati luknjo. Slednji mu ni ostal dolžan in je izpostavil, da ima Android 4.3 ranljivost, ki pa je Google sploh ne namerava odpraviti.

V zelo starih časi so se ranljivosti takoj po odkritju priobčile javnosti, proizvajalci programske opreme pa so hitro spisali popravke. Kasneje se je ta način umaknil tako imenovanemu odgovornemu razkritju (responsible disclosure) oziroma koordiniranemu razkritju ranljivosti (coordinated vulnerability...

7 komentarjev