CNet - Pred skorajda letom dni smo pisali o GDrivu, ki naj bi ga pripravljal Google in bo uporabnikom omogočal shranjevati poljubne datoteke na splet. Takrat so na internet pricurljale celo interne informacije in komentarji v programski kodi, nakar je vse tiho bilo.

Včeraj je Google spremenil politiko pri svoji storitvi Google Docs, ki sedaj uporabnikom dovoljuje shranjevanje poljubnih datotek na splet, kar ponovno buri duhove o fantomskem GDrivu. Meje za stare formate datotek ostajajo nespremenjene (500 KB za Wordove dokumente, 10 MB za PowerPointove in PDF-je), medtem ko lahko druge datoteke, ki se ne dajo pretvoriti vanje, obsegajo do 250 MB. Skupna omejitev vseh datotek je 1 GB, dodatno kapaciteto pa je moč kupiti za 0,25 dolarja na gigabajt na leto. Google pravi, da želijo s tem izkoreniniti potrebo po USB-ključkih za prenašanje datotek.

Slo-Tech - Active X kontrolniki so vir številnih ranljivosti v Microsoft programski opremi, posebej problematični pa so tisti, ki so razviti na podlagi Microsoft Active Template Library. ATL namreč vsebuje številne ranljive knjižnice in s pomočjo izrabe napak preko Active X je mogoče na računalnik neopazno namestiti zlonamerno programsko opremo.

Ko Microsoft odkrije ranljiv kontrolnik, nanj s popravkom nastavi tim. killbit, kar pomeni, da teh kontrolnikov Internet Explorer ne zažene.

Vendar pa so nekateri raziskovalci ugotovili, da je killbit mogoče zaobiti in tako vseeno zagnati ranljiv kontrolnik.

V predstavitvi The Language of Trust: Exploiting Trust Relationships so raziskovalci Mark Dowd, Ryan Smith in David Dewey prikazali kako Microsoftovo zaščito zaobiti.

Raziskovalci so pred tem kontaktirali Microsoft, ki je dan pred predstavitvijo, 28. julija, izdal popravek za Internet Explorer MS09-034.

Za razliko od SE Linux "Cheddar Bay" ranljivosti, ki jo je bilo do izdanega popravka...

Slashdot - V javnost je prišla vest, da ima najnovejša različica Firefoxa napako, ki vam lahko onemogoči uporabo brskalnika, dokler je ne odpravite. Do napake pride, ko uporabnik naleti na spletno stran, ki namerno vsebuje zelo dolgo ime strani. Ker Firefox shrani podatke o obiskanih spletnih straneh v datoteko, ki jo prebere ob vsakem zagonu, se vam tako brskalnik ob naslednjem zagonu "obesi" in prične porabljati celotno razpoložljivo procesorsko moč. Problem se začasno odpravi, če izbrišete datoteko history.dat v mapi z osebnimi nastavitvami brskalnika. Za napako ni na voljo še nobenega uradnega popravka. Ta neljubi dogodek lahko preprečite, če onemogočite spremljanje zgodovine (Tools Options History Remember visited pages for at least 0 days) ali pa če v datoteko prefs.js, ki je v isti mapi kot history.dat, vstavite:

user_pref("capability.policy.default.HTMLDocument.title.set","noAccess");

Napaka preizkušeno deluje na Windows XP. Kdor želi poizkusiti.

Kot zanimivost velja še...

Slo-Tech - Te dni mineva leto dni od izida zloglasnega Service Pack 2 (krajše SP2) za operacijski sistem Windows XP. Prinesel je veliko novosti, poleg popravkov tudi izboljšanje varnosti (Security Center), žal pa tudi nekompatibilnost z nekaterimi napravami in programjem.

Te dni pa so na plan prišle informacije o naslednjem servisnem paketu - kot poročata zdnet.com in silicon.com, bi naj Service Pack 3 bil nared drugo leto, po izidu Windows Viste, ki je trenutno prioriteta. Realno to porine izid SP3 vsaj do božiča 2006 ali kar do spomladi 2007.

Bo tudi XP dočakal toliko servisnih paketov kot 2000?

SANS Institute - Ker so se na internetu včeraj pojavili delujoči programi za izkoriščanje napake v Veritas Backup Exec agentu in napak, ki jih je Microsoft popravil ta teden, se je povečala ogroženost interneta. Internet Storm Center je tako stopnjo ogroženosti povečal na rumeno kar pomeni, da obstaja velika stopnja ogroženosti računalnikov. Uporabnikom sistemov Windows priporočajo, da ta vikend namestijo popravke, uporabnikom Backup Exec pa, naj spremenijo vrata iz privzetih 10000 na drugo vrednost, onemogočijo dostop do njega z interneta, ali pa začasno izklopijo.

OSNews - Servisni paket za Windows XP je zunaj že nekaj časa, razprave o njem so tudi tukaj napolnile že kar nekaj MB, težko pa bi rekli, da so ga uporabniki sprejeli v podobnih odstotkih, s kakršnimi so samodržci kot Sadam Husein ipd. zmagovali na "volitvah". Še več, zaradi možnosti, da lahko marsikakšen prej delujoč program odpove poslušnost, si ga je po neki študiji omislila le približno četrtina uporabnikov.

Če ne gre zlepa, bo šlo pa zgrda, so očitno porekli v Redmondu. Če ste tudi vi med tistimi tremi četrtinami, ki vas SP2 še ni prepričal, vas od naslednjega torka, 12. aprila, dalje lahko reši le še fizični odklop iz interneta, primerno nastavljen zanesljiv požarni zid ali pa prehod na kakšen drug OS. Od tega dne se bodo namreč Windows XP kratkomalo požvižgali na morebitno blokado nadgradenj in vam, hočeš - nočeš, dol povlekli in namestili SP2. Novica je potrjena, kajpak primerno obdelana v oddelku za PR, tudi pri Microsoftu.

Kaj bodo na to porekli pravniki, pa bomo še videli.

...

News.com - Windows XP SP2 se lahko pohvali s posebnim varnostnim mehanizmom, Data Execution Protection imenovanim. Ta zlobnežem onemogoča vstavljanje škodljive kode v pomnilnik, ki bi sistem prepričala, da požene določen program.

Žal pa rusko varnostno podjetje sporoča, da tehnologija vsebuje vsaj dve manjši napaki, ki izkušenemu programerju omogočata, da zaobide zaščito. V objavi napake je podjetje ponudilo tudi rešitev problema. Žalostno pa je, da tega ne stori tudi Microsoft; še več - kljub več kot enomesečnemu opozarjanju na napako, se v Redmondu ne zmenijo zanjo.

Na novico nas je opozoril Delfi.

Slashdot - Secunia je ponovna objavila opozorilo o kritičnih varnostnih luknjah. Tokrat je na udaru Microsoft Internet Explorer 6. Kritične napake je mogoče izkoristiti v sistemih z nameščenim drugim skupkom popravkov za Windows XP. Težave se pojavljajo v Microsoftovi ActiveX kontroli, ki dovoli skriptnim jezikom pisati poljubne datoteke na disk. V povezavi z ostalima dvema luknjama pa je mogoče tudi poganjati poljubne ukaze.

Preizkus ranljivosti vam bo hitro povedal ali ste tudi vi ranljivi. Varnostno podjetje predlaga kot rešitev napake zamenjavo brskalnika. Microsoft je bil obveščen o napaki 21. oktobra 2004.

Slashdot - Z današnjim dnem ste lahko uporabniki Microsoftovega Internet Explorerja ponovno pomirjeni. Microsoft je po samo 53 dneh od objave varnostne luknje, ki omogoča ponarejanje spletnega naslova, objavil Varnostno posodobitev 832894. Novica je izredno dobrodošla po tem, ko smo pred dnevi poročali o Microsoftovem priporočilu, da naj uporabniki vnašajo spletne naslove in ne klikajo na spletne povezave. Hiter pregled popravka nam pove, da so popravili še vrsto drugih varnostnih napak, ki omogočajo krajo podatkov ter napako v DHTML dogodkih, ki je omogočila, da se je ZlobnaKoda™ lahko predstavila kot neškodljivi pdf dokument.

Za konec pa še največja novost. Po novem več naslovi oblike http[s]://uporabnik:[geslo]@stran/vsebina ne delujejo več. Zadevo je sicer mogoče vklopiti s posegom v register vendar smo se že dodobra navadili na to obliko. Če spletnim mojstrom lahko svetujejo uporabo piškotkov pa si bo marsikateri uporabnik vseeno želel, da bi Internet Explorer privzeto podpiral RFC...

Vnunet - ... ima iziti v drugi polovici dotičnega leta. Povečini bo kar klasičen skupek popravkov, vendar pa ne gre prezreti dodane podpore za "ne-pcjevska računala", torej razne mutantske zadevice, kot recimo prihajajoča Mira ter Tablet PC-je.

Bo pa skupek popravkov sveboval še nekaj, uporabnikom manj vidnega. Ker gre pač za "naslednjo verzijo oken" (revizijo), se nanjo navezujejo tudi navedbe iz predloga poravnave v zadevi Microsofta proti 18 zveznim državam: razkritje nekaterih API-jev razvjialcem.

ZDNet - Res je - v sredo so iz Trend Micro sporočili, da so dobili patent za tehnologijo, ki v javanskih programčkih odkriva kodo zlobe. Poleg jave tehnologija omogoča tudi pregledovanje ActiveX kontrol ter drugih spletnih aplikacij na ravni omrežja (jah, kako pa naj inštaliramo tovrstno programje v... telefon? )

Java je dandanes resda nekakšen 'univerzalni', vsestranski jezik, ki se ne uporablja le v namiznih računalnikih, ampak tudi v mobilnih telefonih (predvsem Japonska, seveda ), za to je zgolj vprašanje časa, kdaj se bodo pisci omenjenih vrstic kode spravili še na Javo.