»

Začasni popravek za varnejši splet z Microsoftovim Raziskovalcem Interneta

OnlyNewz - Znana je nova varnostna luknja v vseh različicah Internet Explorerja od vključno 5.01 naprej. Luknjo v protokolu ITS, ki se uporablja npr. v datotekah s pomočjo za povezovanje na zunanje spletne strani (lahko pa tudi obratno!) s pridom izkorišča že nekaj virusov (Ibiza, BloodHound, BugBear.E). Urejevalcu strani omogoča, da izvede poljubno kodo na vašem računalniku z enakimi privilegiji, kot je zagnan Internet Explorer.

Ker to ni dobro (vsi namreč vemo, da velika večina uporabnikov Internet Explorerja uporablja administratorske privilegije), si lahko izberete vašo priljubljeno rešitev: bodisi onemogočite protokol ITS, bodisi lahko končno prebarvate plavolaso pričesko in nehate klikati po čudnih povezavah v elektronski pošti ali neposrednih sporočilih, lahko se trudite s posodabljanjam protivirusnega programa ali pa presekate gordijski vozel in zamenjate brskalnik. Kako to storiti si lahko v angleškem jeziku ogledate na tej strani. Več informacij pa lahko najdete na strani, kjer...

16 komentarjev

Ranljiva spletna pošta

Slashdot - Izraelsko podjetje GreyMagic je odkrilo varnostno luknjo v spletnih poštnih sistemih HotMail in Yahoo, natančneje v njunih filtrih, ki iz HTMLja poskušajo odfiltrirati potencialno nevarne elemente. Če do omenjenih sistemov dostopate z IE, lahko ob odpiranju sporočila z zlonamerno kodo pride do stvari, o katerih sanjajo pošiljatelji neželene pošte in razpečevalci črvov, npr. kraja uporabniškega imena in gesla, razkritje vsebine kateregakoli sporočila v poštnem predalu, samodejno pošiljanje sporočil iz vašega računa, razpečevanje črvov, razkritje naslovov v vašem adresarju, ob kakšni neredno krpani različici IE pa je možen tudi prevzem nadzora nad vašim računalnikom.

Izraelci so preizkusili samo omenjena spletno poštna sistema in dopuščajo možnost, da podobna ranljivost obstaja tudi v drugih sorodnih sistemih. Podatkov o pri nas priljubljenem Email.si tako ni.

Pri Hotmailu so napako že odpravili, pri Yahooju pa se niso ravno izkazali s skrbjo za uporabnike, saj še niso...

6 komentarjev

Po pol leta vendarle zakrpana luknja v Windowsih

Slashdot - Če se vam zdi veliko, da je Microsoft potreboval skoraj dva meseca za zakrpanje luknje v Internet Explorerju, kaj porečete šele na to, da so vas pri usodnejši luknji v operacijskih sistemih Windows NT4, 2000 in XP kar pol leta pustili računalniškim zlikovcem na milost in nemilost. Kot poročajo tukaj ali tukaj, so že konec lanskega julija odkrili napako v knjižnici ASN.1, ki napadalcu omogoča, da preko Kerberosa, overovitve NTLMv2, SSL, digitalno podpisane elektronske pošte, ActiveX ipd. izvede zlobno kodo, popravek pa je izšel šele včeraj (ali pa morda celo danes po našem času). Izvirno novičko na Slashdotu, najdete tu.

37 komentarjev

Linki ponovno dovoljeni za IE uporabnike

Slashdot - Z današnjim dnem ste lahko uporabniki Microsoftovega Internet Explorerja ponovno pomirjeni. Microsoft je po samo 53 dneh od objave varnostne luknje, ki omogoča ponarejanje spletnega naslova, objavil Varnostno posodobitev 832894. Novica je izredno dobrodošla po tem, ko smo pred dnevi poročali o Microsoftovem priporočilu, da naj uporabniki vnašajo spletne naslove in ne klikajo na spletne povezave. Hiter pregled popravka nam pove, da so popravili še vrsto drugih varnostnih napak, ki omogočajo krajo podatkov ter napako v DHTML dogodkih, ki je omogočila, da se je ZlobnaKoda™ lahko predstavila kot neškodljivi pdf dokument.

Za konec pa še največja novost. Po novem več naslovi oblike http[s]://uporabnik:[geslo]@stran/vsebina ne delujejo več. Zadevo je sicer mogoče vklopiti s posegom v register vendar smo se že dodobra navadili na to obliko. Če spletnim mojstrom lahko svetujejo uporabo piškotkov pa si bo marsikateri uporabnik vseeno želel, da bi Internet Explorer privzeto podpiral RFC...

28 komentarjev

Microsoft bi patentiral zapise XML

News.com - Microsoft je v Evropski Uniji in na Novi Zelandiji vložil zahtevo za pridobitev patentnih pravic za zapise dokumentov pisarniške zbirke Office 2003, ki uporablja tehnologijo XML. To pomeni, da v primeru izpolnjene zahteve konkurenčni izdelki, kot sta StarOffice in OpenOffice.org, ne bodo mogli shranjevati dokumentov v obliki, ki bo uporabna v Microsoftovem izdelku.

Poteza iz Redmonda je nadvse paradoksalna, saj je opisni jezik XML nastal ravno z namenom lažjega komuniciranja med programi, izpolnjena zahteva pa bi delovala kontraproduktivno. In prvi, ki je XML uporabil v zapisih svojih datotek, je bil OpenOffice.org, torej je Microsoft le posnemovalec. Klik!

Morda pa je namen dober. Bodo z denarjem najeli dodatno delovno silo za odpravo nedavnih lukenj v IE?

39 komentarjev

Pretkan popravek za luknjo v IE

Slashdot - O varnostni luknji v Internet Explorerju, ki omogoča prikazovanje lažnega naslova spletnih strani, smo poročali najmanj dvakrat in vsaj tolikokrat tudi o napetem čakanju na Microsoftov popravek zanjo. Zdaj je nenadoma postalo jasno, zakaj je bilo čakanje vztrajnih uporabnikov tega brskalnika tako dolgo. Microsoft je namreč ubral novo strategijo odpravljanja varnostnih lukenj. Na svoji spletni podstrani, namenjeni tehnični podpori, je objavil članek, v katerem je opisan postopek, kako se otresti primeža hude varnostne luknje. Če se vam ne da brati, vam lahko odgovor zaupamo tudi v skrčeni obliki: ne uporabljajte hiperpovezav, ampak naslove vpisujte naposredno v vrstico z naslovom.

Pripravlja Microsoft revolucionaren programski jezik za spletne strani, ki ne bo več temeljil na hiperpovezavah?

15 komentarjev

Virus, črv, luknja, virus, črv, luknja, luknja, luknja ...

Slashdot - Včeraj črv, danes luknja. In sicer varnostna luknja v Internet Explorerju. Razmeroma katastrofalna, saj omogoča, da nekomu preko spletne strani ponudite neko datoteko, ki izgleda povsem prijazna, npr. kak PDF dokument, v resnici pa gre za izvedljivo datoteko, ki lahko na uporabnikovem disku počne skoraj vse, torej tudi HudeTraparije™. In seveda je kot ustvarjena za sodelovanje z luknjo, ki omogoča prikazovanje lažnega naslova spletnih strani. Seveda ni odveč, če omenimo, da je Microsoft po šestih tednih še ni uspel popraviti. Za Tomaže je na voljo tudi demonstracija delovanja luknje.

Uporabniki Internet Explorerja, si zdaj sploh še upate namestiti Mozillo, Mozilla Firebird ali Opero?

15 komentarjev

Nova varnostna luknja v Internet Explorerju

Slashdot - Kot verjetno veste, Internet Explorer, ali krajše IE, ni ravno najbolj varen internetni brskalnik. To dokazuje tudi najnovejša varnostna luknja. Ta je precej nevarna, saj omogoča ZlimOsebkom™ izkoriščanje luknje z uporabo %01 znaka za uporabniškim imenom in pred @ v internetnem naslovu. Vse skupaj je precej bolj podrobno opisano na domači strani danskega varnostnega podjetja Secunia. Ker pa bralcem želimo le najboljše, vam predlagamo da si namestite Mozillo ali pa Opero če želite, da se vam podobne nevšečnosti ne dogajajo. Klik! za novičko in opis luknje, tu pa še eWeekova novička.

54 komentarjev

Lažni MS popravek

Tech Seekers - Na spletnih straneh so se pojavila opozorila, da po internetu kroži virus, pod pretvezo, da je Microsoftov popravek za operacijski sistem Windows. Zamašil naj bi varnostne luknje v programih Internet Explorer, Outlook ter Outlook Express, kot tudi pet novih varnostnih lukenj v samih Oknih. Poleg obvestila o popravku boste zraven dobili še navodila za namestitev popravka ter Microsoftovo zahvalo, da uporabljate njihove izdelke. Več si preberite na tem naslovu.

5 komentarjev

Microsoft zgrožen nad exploit razpravami

The Register - Microsoft je podjetje, ki ne ustvarja samo programskih paketov, ampak tudi malce čudne komentarje. Če smo nekateri pogojno še prenesli Balmerjevo tuljenje, kakšna rakasta rana je Linux, je najbolj svež Microsoftov komentar popolna bedarija. In kako izgleda ta komentar? Kot gotovo že veste, obstajajo na internetu razna zbirališča, kjer ljudje razpravljajo o varnostnih luknjah v M$-jevih programih ali operacijskih sistemih. Problem nastane, ker se na teh zbirališčih ne zadržujejo samo uporabniki, ki hočejo izvedeti, katere luknje je treba zakrpati, ampak tudi taki modeli, ki hočejo izvedeti, katere luknje se lahko najbolje izkoristi za razne exploite, podtikanje trojancev, črvov ali še česa hujšega. Po Microsoftovo, bi morali vsa taka zbirališča zapreti. In kje bodo potem razni uporabniki izvedeli, katere varnostne luknje zakrpati? Namesto, da Microsoft tuli čez ta zbirališča, naj raje že enkrat začnejo pisati programe/operacijske sisteme, ki ne bodo spominjali na (močno naluknjan)...

1 komentar

Še ena varnostna luknja v Internet Explorerju...

več strani - Samo en dan po enem odkritem hroščku, o katerem smo poročali že včeraj, so danes odkrili še eno varnostno luknjo v Microsoftovem spletnem brkljalniku Internet Explorerju.
Varnostna luknja obstaja v verzijah Internet Explorerja 5.01 in 5.5. Ker so HTML e-pošte pravzaprav spletne strani, jih lahko IE pretvori in odpira binarne priponke na takšen način, ki je primeren za določen MIME tip. Vendar pa obstaja luknja v načinu procesiranja, ki je značilen za nekatere nenavadne MIME tipe. Posledica tega je, da Internet Explorer potem avtomatično odpre HTML e-poštno priponko, ki lahko vsebuje kakšno zlonamerno programsko kodo.
Za tiste, ki ne vedo; MIME je Internet standard za kodiranje binarnih datotek kot e-poštnih priponk.
Več informacij si poglejte na Microsoftovem Security Bulletin tukaj. Microsoft je že razvil popravek, ki ga lahko dol-povlečete z njihove spletne strani, in sicer tukaj. Microsoft je tudi opozoril, da je priporočljivo, da uporabniki Internet Explorerja dol-povlečejo in...

1 komentar

Lažna Microsoftova stran

CNN - Microsoft je postal žrtev potegavščine, ko se je preko interneta in e-maila razširila novica o "How to" inštrukcijah na "njihovih" straneh.
Spletna stran z naslovom "HOWTO: Read the Fucking Manual" ima enako obliko kot Microsoftove informacijske strani; pri tem pa seveda malo drugačno vsebino...:) Pri podrobnejšem pregledu pa vidimo, da je stran iz druge domene.
Microsoft še raziskuje vire strani, ker lahko ljudje, ki dobijo ta link, napačno mislijo, da gre za dejanske strani od Microsofta. Ni pa še jasno, ali je avtor teh lažnih strani prekršil kakšna zakonska pravila.

Več o tem si lahko preberete na tej strani, ali pa pogledate v forum, kjer tudi teče debata o tej zadevci.

1 komentar