Slo-Tech - V vseh verzijah poštnega strežnika Exim (mail transfer agent) so odkrili varnostne luknje, ki napadalcem omogočajo oddaljeni zagon poljubne kode (remote code execution). Ranljivost je odkril anonimni varnostni raziskovalec in jo prijavil prek Trend Microvega mehanizma Zero Day Initiative. Povzroča tako nestabilno delovanje in kvarjenje podatkov kakor tudi izrabo za poganjanje nepooblaščene kode. Napaka tiči v storitvi SMTP (odhodna pošta), kjer lahko pride do prekoračitve naslovnega prostora (out-of-bounds write).

ZDI je proizvajalca o napaki obvestil že junija lani (!) in ponovno maja letos, a popravka niso izdali. ZDI je zato ta teden javno objavil podrobnosti v opozorilu CVE-2023-42115, kjer so razkrili tudi vso komunikacijo z Eximom. Tovrstni strežniki so zelo obetavne tarče, ker so običajno dostopni z interneta, zato omogočajo vdor v interne sisteme. Hkrati je Exim najpopularnejša programska oprema za MTA. V preteklosti so se ranljivosti v Eximu že izkoriščale tudi v praksi....

CNET News - Mozilla je že pred časom razpisala program, po katerem so lahko posamezniki zaslužili 500 ameriških zelencev za najdeno varnostno ranljivost, vendar kljub času recesije in krčenju proračunov tudi v IT sektorju to ni spodbudilo resnejšega interesa po iskanju varnostnih ranljivosti. Ko pa so se odločili skladno z izboljšanim stanjem na trgu dela in splošnim stanjem gospodarstva to cifro pomnožiti za šest, torej na tri tisoč dolarjev, so vpodbudili nekoliko resnejši interes.



Ker so trije tisočaki precejšen znesek za dvanajstletnika, je Alex Miller še bolj zastrigel z ušesi kot večina odraslih in se vrgel na delo (nenazadnje, le zakaj bi pomival avtomobile za borih dvajset dolarjev?)....

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke,...

Arnes - Kot poročajo številni varnostni portali, med drugim tudi Arnesov SI-CERT in Slashdot je raziskovalec Dan Kaminsky v DNS protokolu odkril resno ranljivost, ki omogočajo izvedbo tim. zastrupljanja predpomnilnika (ang. cache poisoning), posledično pa napadalec lahko s pomočjo DNS predpomnilnika izvede napad z ribarjenjem (tim. phishing).

Kaminsky je o ranljivosti obvestil 81 proizvajalcev programja za DNS strežnike, večina pa jih je danes izdala koordiniran popravek ranljivosti. Podrobnosti o ranljivosti sicer še niso javno znane, jih bo pa Kaminsky objavil avgusta letos na Black Hat konferenci. Na voljo je tudi on-line program za preverjanje ranljivosti vašega DNS-ja.

Pa še opozorilo: poleg nadgradnje DNS programske opreme na vaših strežnikih (če jih imate) pa ne pozabite nadgraditi tudi programske opreme na napravah kot so domači brezžični usmerjevalniki.

Mozilla.org - Kmalu po izidu Firefox 3 so na TippingPoint objavili informacijo (ranljivost ZDI-CAN-349), da so preko programa Zero Day Initiative nekaj ur po uradnem izidu Firefoxa dobili informacijo o visoko kritični ranljivosti tega spletnega brskalnika.

Ranljivost v Firefox 3.0 in 2.x omogoča zagon poljubne programske kode, potrebno pa je minimalno "sodelovanje" uporabnika (klik na povezavo ali obisk okužene spletne strani). Pri TippingPoint so o ranljivosti nemudoma obvestili razvijalce Firefoxa, ti pa pravijo, da na odpravi napake že intenzivno delajo ter poudarjajo da izraba varnostne ranljivosti še ni javno dostopna.

Še ni. Prav tako pa tudi popravek še ni na voljo.

Na novico nas je opozoril InExtremis.

Slashdot - Kot poročajo Slashdot in številni drugi mediji, so v Adobe Flash predvajalniku odkrili varnostno ranljivost, ki jo zlonamerni napadalci izkoriščajo v velikem obsegu. Zloraba (exploit) naj bi bila že vključena v kitajsko različico zbirke napadalskih orodij MPack exploit kit, zlonamerna koda pa je okužila že preko 20.000 spletnih strani.

Ob obisku okužene strani zlonamerna koda izrabi ranljivost predvajalnika Flash in prevzame popoln nadzor nad računalnikom.

Analiza Marka Dowda je pokazala, da gre za izkoriščanje ranljivosti CVE-2007-0071 v Flash predvajalniku 9.0.124.0, zato je priporočena čimprejšnja nadgradnja oz. posodobitev vašega predvajalnika.

Slo-Tech - Mark Dowd, raziskovalec pri IBM Internet Security Systems, je odkril, kako je mogoče s pridobivanjem vrednosti kamor kaže NULL kazalec (tim. NULL pointer dereference) v Adobe Flash predvajalniku izkoristiti za pridobitev sistemskih privilegijev v Windows Vista SP 1. Ranljivi so seveda tudi drugi sistemi.

Poletje bo še vroče.

Za informacijo o novici se zahvaljujemo uporabniku InExtremis.

Ars Technica - Kot poroča Ars Technica, je imela na nedavni konferenci SyScan Conference, direktorica podjetja Immunity, Justine Aitel predstavitev z naslovom "The IPO of the 0day".

V predstavitvi je predstavila nekaj zanimivih statistik o tim. 0-day izrabah varnostnih ranljivosti, ki so objavljene na internetu. Izkazalo se je namreč, da od objave 0-day izrabe varnostne ranljivosti do izdaje popravka zanj v povprečju mine 348 dni. Najdaljši odzivni čas je bil po njegovih ugotovitvah 1080 dni (več kot tri leta), najhitrejši pa 99 dni.

Aitelova tudi ugotavlja, da se 0-day izrabe varnostne ranljivosti čedalje bolj usmerjajo v finančni sektor, podjetjem pa priporoča, da zaposlijo ali najamejo hekerje, ki se bodo ukvarjali z varnostjo njihovih sistemov.

Morda pa bi podjetja kakšno izrabo varnostne ranljivosti lahko tudi odkupila?

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo...

Mozillazine - Pred dvema dnevoma so v brskalnikih, ki temeljijo na Gecko/Mozilla platformi odkrili napako, pri kateri lahko napadalec preko shell: protokola zažene poljubno datoteko na uporabnikovem računalniku, vendar pa mora poznati popolno pot do nje.

To je sicer dokaz, da tudi odprto programje ni varno pred napadi, vendar pa je bila napaka odpravljana prej kot v 48 urah po prijavi hrošča na Buggzili.

Tako je že na voljo popravljena različica brskalnika Mozilla FireFox (0.9.2), na voljo pa je tudi popravek v obliki XPI obliža.

Ranljivost sistema lahko preverite na tej tej povezavi (nekatere od varnostnih ranljivosti na tej strani delujejo tudi v brskalniku Internet Explorer).