CNet - V zadnji verziji Applovega operacijskega sistema Mac OS X Lion je bila odkrita ranljivost, ki vsakemu uporabniku ne glede na privilegije omogoča spremembo gesla vseh ostalih uporabnikov, tudi administratorja. S tem si lahko pridobi popoln nadzor nad računalnikom.

V Mac OS X so zgoščene vrednosti gesel (hash) in salt shranjeni v posebnih datotekah shadow, do katerih imata dostop le njen uporabnik in administrator. Problem je, da je v Lionu to omejitev mogoče obiti, ker so podatki shranjeni v mapi, ko omogoča dostop vsem uporabnikom. To pomeni, da lahko vsakdo pridobi hash in salt od gesla od vsakega uporabnika, kar omogoča napad na geslo. To bi še vedno...

Wired News - Včeraj je izšla nova verzija Applovega operacijskega sistema Mac OS X 10.6.6, ki jo omenjamo predvsem zaradi podpore Mac App Storu. Slednji deluje podobno kot App Store za iPhone, iPad in iPad Touch, le da je namenjena namiznim računalnikom z Mac OS X. Uporabniki lahko izbirajo med več kot tisoč plačljivimi in brezplačnimi aplikacijami, ki se s klikom na gumb namestijo brez uporabnikovega posredovanja. Izbirajo lahko med starimi znanci, kot je denimo Autodesk, in novinci. Apple je želel z Mac App Storom olajšati življenje neveščim uporabnikom, ki jim ne bo treba nameščati aplikacij iz vseh vetrov, in poceniti življenje tudi naprednejšim uporabnikom (recimo Aperture stane v spletni trgovini 80 dolarjev, klasična škatlasta verzija pa...

CNet - Snow Leopard oz. OS X 10.6, ki ga je Apple svetu predstavil pred dvema dnevoma, vsebuje 64-bitni kernel, a je pri zagonu sistema za izbiro le-tega potrebna intervencija. Samodejno se naloži 32-bitni kernel, razen če pri nalaganju uporabnik drži tipki 6 in 4. Avtomatičen zagon 64-bitnega kernela podpirajo le Applovi X-Server računalniki, na katerih teče Snow Leopard Server.

Pri Applu so se za tako potezo odločili, da bi uporabnikom omogočili čim bolj neboleč prehod na 64-bitne sisteme, saj je zelo malo gonilnikov in aplikacij, ki zahtevajo 64-bitni kernel. Zanje je opcija na voljo, po drugi strani...

Apple - Apple je včeraj izdal novo različico svojega spletnega brskalnika, Safari 3.2. V njej je zakrpal ducat varnostnih pomanjkljivosti, zato Apple svetuje, da novo verzijo obravnavajo kot kritični varnostni popravek in namestijo vsi uporabniki Safarija. Na voljo je za operacijske sisteme Windows XP, Vista, Mac OS X 10.5 Leopard in Mac OS X 10.4 Tiger. Seznam popravkov in izboljšav je na Applovih straneh. Klik!

Slashdot - Kot poročajo na Slashdotu, je mogoče v Mac OS X 10.4 Tiger in Mac OS X 10.5 Leopard z zagonom preprostega AppleScript skripta administratorske privilegije.

Ukaz (dokaz ranljivosti), ki to omogoča je naslednji: osascript -e 'tell app "ARDAgent" to do shell script "whoami"';

Ukaz deluje za navadne uporabnike (razen, če so prijavljeni preko hitrega preklapljanja uporabnikov) in administratorje, potreben pa je fizični dostop do računalnika. Ker gre za izkoriščanje Apple Remote Desktop, so nekateri uporabniki že predlagali odstranitev tega programskega paketa.

Na novico nas je opozoril InExtremis.

Slo-Tech - Mark Dowd, raziskovalec pri IBM Internet Security Systems, je odkril, kako je mogoče s pridobivanjem vrednosti kamor kaže NULL kazalec (tim. NULL pointer dereference) v Adobe Flash predvajalniku izkoristiti za pridobitev sistemskih privilegijev v Windows Vista SP 1. Ranljivi so seveda tudi drugi sistemi.

Poletje bo še vroče.

Za informacijo o novici se zahvaljujemo uporabniku InExtremis.

Gizmodo - Šokantna napravica iz naslova izgleda zelo nebogljeno, kot običajen USB pomnilnik, dejansko pa je bistveno bolj zmogljiva in nevarna. Ob vključitvi v USB na najbližjem Macu bo MacLockPick predrzno pridobil podatke o vseh geslih, shranjenih znotraj programa Keychain, obiskanih spletnih straneh, seznamu prijateljev v IM aplikaciji, nedavno odprtih datotekah in še marsičem. Sicer ne gre za izkoriščanje varostnih lukenj, saj naprava deluje samo, če je v sistem prijavljen uporabnik z administratorskimi pravicami in če je nastavljeno avtomatsko dostopanje do omenjenih podatkov brez preverjanja gesla, za nameček pa je dostopna zgolj uradnim organom, saj bi v napačnih rokah znala z malo social engineeringa povzročiti...

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

XvsXP - Je Mac uporabniku prijaznejši od PCja? Je WindowseXP končno dohitel (in mogoče tudi prehitel) Mac OS X v smislu funkcionalnosti? Je Mac OS X le lep ali pa tudi dejansko uporaben operacijski sistem?

Da bi malce razjasnil potencialne negotovosti na to temo, se je Dan Pouliot odločil soočiti dotična operacijska sistema. Njegova obsežna primerjava je razčlenjena na mnoga področja, kot so uporabnost sistemskih orodij, mreženje, tipkovnica in njene bližnjice, 'the Dock vs. the Taskbar', iskalnik, pomoč in podpora ter še marsikaj.

Mogoče vas zanima, kateri je potemtakem boljši - presodite sami. [:)]

Tecchannel.de - Veliko vas ve, da je Mac OS X lep na izgled ampak zelo počasen. Zato so se pri Applu odločili to spremeniti, in so delali na novi verziji tega operacijskega sistema, Mac OS X 10.1. Njegova izdaja je bila na Macworld Expo v New Yorku napovedana za septembra. Predvsem so delali na bolj preglednih menijih in njihovi boljši funkcionalnosti. Prav tako pa so izboljšali samo hitrost zagona programov. Na demonstraciji se je pokazalo, da se programi, ki so včasih potrebovali več sekund za odprtje, odprejo v trenutku, kar je glede na prejšnjo različico veliko izboljšanje. Odpravili pa so tudi nekaj hroščev in pa dodali še nekaj cvetk. Cena nove verzije programa bo znašala za Update verzijo 50 DEM in za polno verzijo okoli 320 DEM. Test sistema najdete TUKAJ, več informacij o "Macworld Expo" pa si preberite TUKAJ.