CNet - Microsoft je včeraj opozoril na varnostno ranljivost v Windows XP, Server 2003, Vista in Server 2008, ki omogoča napadalcu pridobiti nadzor nad računalnikom. Windows 7 in Server 2008 R2 sta imuna. Prvi so na luknjo decembra opozorili na konferenci v Južni Koreji. Napaka tiči v Windows Graphics Rendering Engine in se lahko zlorabi, če je uporabnik prijavljen z administratorskimi privilegiji. Če uporabnik po elektronski pošte prejme Wordovo ali PowerPointovo datoteko s posebno sličico ali brska po omrežju in odpre mapo s posebej prirejeno ikono, dobi lahko napadalec ob odprtju datoteke nadzor nad računalnikom, da požene poljubno kodo. Microsoft že pripravlja popravek, a niso dali roka.

ZDNet - Kot poročajo na ZDNetu, bo Microsoft ruski tajni službi FSB omogočil dostop do izvorne kodo Windows 7. Poleg tega so se v Redmondu odločili, da bodo Rusom omogočili še dostop do odprte kode Microsoft Windows Server 2008 R2, Microsoft Office 2010 in Microsoft SQL Server. Pravijo, da gre za komercialno odločitev, saj želijo pospešiti prodajo na ruskem tržišču. Omogočanje dostopa do odprte kode je sicer del Microsoftovega Government Security Program.

Nekateri strokovnjaki sicer opozarjajo, da to morda ni dobra ideja, saj bo na tak način ruska tajna služba lažje odkrila kakšno varnostno ranljivost, ki jo bo nato lahko zadržala zgolj zase in nato izkoristila. Dejstvo pa je, da je Microsoft dostop do izvorne kode svojih produktov že omogočil nekaterim zahodnim vladam in nekaterih državam članicam NATA. Poleg tega so nekatere države (npr. Rusija in Kitajska) v preteklosti večkrat postavile pod vprašaj varnost Microsoftovih produktov, zato Microsoft izbire pravzaprav nima.

Pa se le...

CNet - Pred skorajda letom dni smo pisali o GDrivu, ki naj bi ga pripravljal Google in bo uporabnikom omogočal shranjevati poljubne datoteke na splet. Takrat so na internet pricurljale celo interne informacije in komentarji v programski kodi, nakar je vse tiho bilo.

Včeraj je Google spremenil politiko pri svoji storitvi Google Docs, ki sedaj uporabnikom dovoljuje shranjevanje poljubnih datotek na splet, kar ponovno buri duhove o fantomskem GDrivu. Meje za stare formate datotek ostajajo nespremenjene (500 KB za Wordove dokumente, 10 MB za PowerPointove in PDF-je), medtem ko lahko druge datoteke, ki se ne dajo pretvoriti vanje, obsegajo do 250 MB. Skupna omejitev vseh datotek je 1 GB, dodatno kapaciteto pa je moč kupiti za 0,25 dolarja na gigabajt na leto. Google pravi, da želijo s tem izkoreniniti potrebo po USB-ključkih za prenašanje datotek.

ComputerWorld - Microsoft je včeraj začel s prvim javnim beta testiranjem svoje zbirke Office Web Apps, ki je neposredni konkurent Google Apps. Gre za tehnični predogled (technical preview), tako da za zdaj smejo sodelovati le povabljeni - teh naj bi bilo več deset tisoč, je dejala Microsoftova tiskovna predstavnica.

Office Web Apps vključuje lahke spletne verzije Worda, Excela in PowerPointa. V beti so nekatere funkcionalnosti še precej okrnjene, saj lahko na primer Wordove dokumente le gledamo, medtem ko Excelove in PowerPointove tudi spreminjamo. OneNote Web App bodo dodali kasneje. Podprti brskalniki za zdaj so IE 7 in 8, Firefox 3.5 (Windows, Linux in Mac) in Safari na Macih. Kdaj bo testna...

Slashdot - Kot poročajo Slashdot in številni drugi mediji, so v Adobe Flash predvajalniku odkrili varnostno ranljivost, ki jo zlonamerni napadalci izkoriščajo v velikem obsegu. Zloraba (exploit) naj bi bila že vključena v kitajsko različico zbirke napadalskih orodij MPack exploit kit, zlonamerna koda pa je okužila že preko 20.000 spletnih strani.

Ob obisku okužene strani zlonamerna koda izrabi ranljivost predvajalnika Flash in prevzame popoln nadzor nad računalnikom.

Analiza Marka Dowda je pokazala, da gre za izkoriščanje ranljivosti CVE-2007-0071 v Flash predvajalniku 9.0.124.0, zato je priporočena čimprejšnja nadgradnja oz. posodobitev vašega predvajalnika.

Slashdot - Pri Internet Security Systems so objavili novo ranljivost v Sendmail strežniku. Zloraba ranljivosti omogoča pridobitev nadzora nad računalnikom, na katerem teče Sendmail. Uradni popravek pa je že na voljo. Odzvale so se tudi nekatere distribucije Linuxa in izdale svoje interne popravke. Čeprav exploit uradno še ni "v divjini", proizvajalec svetuje čimprejšnjo namestitev popravka oz. nadgradnjo.

Na Microsoftovi strani pa spet nič novega. Odkritih je bilo namreč nekaj novih ranljivosti v brskalniku Internet Explorer:
- ranljivost "grasshopper"
- zloraba klica "createTextRange()" methode
- zloraba objavljena na Full-disclosure poštnem seznamu

Microsoft je preko Microsoft Security Response Center Blog že podal uradno izjavo.
US-CERT kot začasno rešitev priporoča izklop Active Scripting-a.

H. D. Moore pa je objavil skripto za testiranje in iskanje novih ranljivosti v brskalnikih. Kot pravi sam: "Preiskusilo jo je samo nekaj uporabnikov z brskalniki Firefox, Opera, Safari,...