ComputerWorld - Microsoft je že pred časom napovedal spremembo politike v MSRC-ju (Microsoft Security Response Center), po kateri bodo objavljali tudi podatke o ranljivosti v programih tretjih proizvajalcev, ki tečejo pod Windows. Prva sta si to prislužila brskalnika Chrome in Opera, ko je Microsoft v varnostnem priporočilu (security advisory) opozoril na ranljivosti v nezakrpanih verzijah. Proizvajalca sta opisane ranljivosti sicer odpravila že lani oktobra oziroma decembra.

To je prvi primer, da je Microsoft izdal varnostno priporočilo zavoljo varnostne ranljivosti v programu kakšnega drugega proizvajalca. To bo odslej redna praksa, pojasnjujejo v MSRC-ju, pri čemer pa bodo vsakokrat pred objavo...

CNet - Microsoft je včeraj opozoril na varnostno ranljivost v Windows XP, Server 2003, Vista in Server 2008, ki omogoča napadalcu pridobiti nadzor nad računalnikom. Windows 7 in Server 2008 R2 sta imuna. Prvi so na luknjo decembra opozorili na konferenci v Južni Koreji. Napaka tiči v Windows Graphics Rendering Engine in se lahko zlorabi, če je uporabnik prijavljen z administratorskimi privilegiji. Če uporabnik po elektronski pošte prejme Wordovo ali PowerPointovo datoteko s posebno sličico ali brska po omrežju in odpre mapo s posebej prirejeno ikono, dobi lahko napadalec ob odprtju datoteke nadzor nad računalnikom, da požene poljubno kodo. Microsoft že pripravlja popravek, a niso dali roka.

ComputerWorld - Microsoft je včeraj izdal popravke za štiri ranljivosti v Windows in Office, med drugim tudi za hrošča, ki je poznan že debelih 22 mesecev. Popravek MS08-069 zakrpa tri ločene napake v XML Core Services, ki skrbi za sodelovanje med skriptnimi jeziki in XML-aplikacijami in med drugim skrbi tudi za izris vsebine XML v Internet Explorerju. Najbolj kritično ocenjena napaka je bila javnosti odkrita v začetku preteklega leta, a ni poznan noben primer zlorabe v tem obdobju poroča Computer World. Drugi popravek, MS08-068, je označen le kot pomemben in ne kritičen, bi utegnil imeti še daljšo brado, saj naj bi se podobne napake pojavljale in objavile že leta 2000. O izidu poroča tudi The Inquirer.

Na tem mestu omenimo še neposrečeno dejanje priljubljenega brezplačnega protivirusnega programa AVG, ki je označil sistemsko datoteko user32.dll kot škodljivo, njena odstranitev pa je povzročila kopico sivih las uporabnikom Windows XP. Napaka je bila omejena na nizozemsko, francosko, italijansko,...

Ars Technica - Opera Software ASA je najavila, da je vložila pritožbo na Evropsko komisijo. Opero tokrat moti slaba podpora W3C standardom s strani operacijskemu sistemu Windows proloženega brskalnika, Internet Explorerja.

S tem želijo tudi pri Operi Microsoft spodbuditi, da bi končno izdali brskalnik, ki bi izrisoval strani v skladu s standardi, ali pa Internet Explorer odstranili iz privzete namestitve ali pa celo šli tako daleč, da bi uporabniku ponudili namestitev alternativnega brskalnika.

Za razliko od odstranitve Windows Media Playerja leta 2004 bi bila odstranitev Internet Explorerja dejansko koristna, saj morajo razvijalci spletnih aplikacij strani posebej prilagajati za star in okoren...

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

Slashdot - Pri Internet Security Systems so objavili novo ranljivost v Sendmail strežniku. Zloraba ranljivosti omogoča pridobitev nadzora nad računalnikom, na katerem teče Sendmail. Uradni popravek pa je že na voljo. Odzvale so se tudi nekatere distribucije Linuxa in izdale svoje interne popravke. Čeprav exploit uradno še ni "v divjini", proizvajalec svetuje čimprejšnjo namestitev popravka oz. nadgradnjo.

Na Microsoftovi strani pa spet nič novega. Odkritih je bilo namreč nekaj novih ranljivosti v brskalniku Internet Explorer:
- ranljivost "grasshopper"
- zloraba klica "createTextRange()" methode
- zloraba objavljena na Full-disclosure poštnem seznamu

Microsoft je preko Microsoft Security Response Center Blog že podal uradno izjavo.
US-CERT kot začasno rešitev priporoča izklop Active Scripting-a.

H. D. Moore pa je objavil skripto za testiranje in iskanje novih ranljivosti v brskalnikih. Kot pravi sam: "Preiskusilo jo je samo nekaj uporabnikov z brskalniki Firefox, Opera, Safari,...

Crypto-Gram - Kot v svojem članku z naslovom Internet Explorer Sucks piše eden najbolj znanih ameriških varnostnih strokovnjakov Bruce Schneier, se brskalnik Internet Explorer na varnostnem področju spet ni najbolje izkazal.

Schneier namreč poroča o raziskavi Browser Security Test, ki je skušala ugotoviti koliko časa je bil posamezni brskalnik (testirali so MSIE, Opero in Firefox) "znano ranljiv". Obdobje znane ranljivosti so definirali kot obdobje med javno objavo odkritja varnostne pomankljivosti in izdajo popravka zanjo. Dejstva, da si veliko posameznikov varnostnih popravkov ne...

Mozillazine - Pred dvema dnevoma so v brskalnikih, ki temeljijo na Gecko/Mozilla platformi odkrili napako, pri kateri lahko napadalec preko shell: protokola zažene poljubno datoteko na uporabnikovem računalniku, vendar pa mora poznati popolno pot do nje.

To je sicer dokaz, da tudi odprto programje ni varno pred napadi, vendar pa je bila napaka odpravljana prej kot v 48 urah po prijavi hrošča na Buggzili.

Tako je že na voljo popravljena različica brskalnika Mozilla FireFox (0.9.2), na voljo pa je tudi popravek v obliki XPI obliža.

Ranljivost sistema lahko preverite na tej tej povezavi (nekatere od varnostnih ranljivosti na tej strani delujejo tudi v brskalniku Internet Explorer).

OnlyNewz - Znana je nova varnostna luknja v vseh različicah Internet Explorerja od vključno 5.01 naprej. Luknjo v protokolu ITS, ki se uporablja npr. v datotekah s pomočjo za povezovanje na zunanje spletne strani (lahko pa tudi obratno!) s pridom izkorišča že nekaj virusov (Ibiza, BloodHound, BugBear.E). Urejevalcu strani omogoča, da izvede poljubno kodo na vašem računalniku z enakimi privilegiji, kot je zagnan Internet Explorer.

Ker to ni dobro (vsi namreč vemo, da velika večina uporabnikov Internet Explorerja uporablja administratorske privilegije), si lahko izberete vašo priljubljeno rešitev: bodisi onemogočite protokol ITS, bodisi lahko končno prebarvate plavolaso pričesko in nehate klikati po čudnih povezavah v elektronski pošti ali neposrednih sporočilih, lahko se trudite s posodabljanjam protivirusnega programa ali pa presekate gordijski vozel in zamenjate brskalnik. Kako to storiti si lahko v angleškem jeziku ogledate na tej strani. Več informacij pa lahko najdete na strani, kjer...