Slo-Tech - Navajeni smo že, da imajo računalniški programi hrošče, ki povzročajo večje ali manjše nevšečnosti. Kadar se nahajajo v kritični infrastrukturi in imajo hrošči resne posledice, so popravki navadno na voljo zelo hitro. Te dni pa v zvezni državi Washington odmeva razkritje, da je računalniški program v tamkajšnji Upravi za izvrševanje kazenskih sankcij (DOC) vse od leta 2002 vseboval hrošča, zaradi katerega so zapornike prekmalu izpuščali. Za hrošča so vedeli od leta 2012, a ga niso zakrpali, niti niso uporabili kakšne druge metode za izračun, kdaj se bo kazen iztekla. V teh letih so prekmalu izpustili okrog 3200 zapornikov, je ocenil guverner, in sicer povprečno za 55 dni. Ni veliko, nekaj pa je. So tudi...

ZDNet - AMD je potrdil odkritje avtorja operacijskega sistema DragonFly BSD Matta Dillona, da imajo nekateri njihovi procesorji hrošča, ki povzroči napačno izvajanje programov v specifičnih okoliščinah. Dillon je o hrošču prvikrat javno pisal že lanskega decembra, a je imel obilico težav z reprodukcijo napake. Po več mesecih dela je uspel izdelati posebej prilagojeno distribucijo DragonFly BSD-ja, ki hrošča vsakokrat reproducira že v slabi minuti.

AMD je včeraj uradno potrdil, da omenjeni hrošč obstaja. Kot je zapisal Dillon, je AMD po nekaj izmenjanih elektronskih sporočilih in podrobni analizi ugotovil, da gre za pravega hrošča. V izjavi za javnost so nato javno podrobnosti. Napaka nastopi pri procesorjih Opteron serij 2300, 8300...

Slashdot - V prejšnji teden izdani novi verziji skriptnega jezika PHP 5.3.7 so odkrili resno ranljivost, zaradi katere avtorji priporočajo, da z nadgradnjo počakamo. Čeprav je bila inačica 5.3.7 izdana prav z namenom počistiti zalego hroščev, kar ji je dobro uspelo, je prinesla novega.

Odkrili so namreč napako v kriptografski funkciji crypt(). Kadar ta uporablja kodirni algoritem MD5, potem vrača enostavno le vrednost uporabljenega salta. Pri uporabi drugih algoritmov, recimo Blowfish ali DES, težav ni. Napaka je bila odkrita in javljena v sredo, dan pred izidom nove verzije. Razvijalci so problem že diagnosticirali in izdelali popravek, ki bo vključen v PHP 5.3.8, ki bo izšel kmalu. Do takrat pa uporabnikom priporočajo uporabo PHP 5.3.6.

Slo-Tech - Prejšnji mesec smo poročali o hrošču v PHP, ki povzroči neodzivnost programa pri pretvarjanju zelo velikih ali zelo malih števil med različnimi tipi zapisa. Podoben hrošč je bil odkrit tudi v Javi (v izvajalnem okolju in v prevajalniku), ki prav tako obvisi pri pretvorbi vrednosti 2.2250738585072011e-308 v binarni zapis dvojne natančnosti s plavajočo vejico (to ni edini primer, saj...

PC World - V skriptnem jeziku PHP je bil odkrit nov hrošč, ki lahko povzroči neodzivnost strežnikov. Če mora program pretvoriti zelo veliko ali majhno število, ki je zapisano kot niz, v zapis s plavajočo vejico (recimo vrednost 2.2250738585072011e-308), zaide v neskončno zanko. Na ta način bi napadalec lahko onesposobil strežnik, saj postane neodziven, če bi mu posredoval ustrezne podatke. Prizadeti sta verziji PHP 5.2 in 5.3, če tečeta na Intelovi arhitekturi x86-32 s FPU. Napaka je bila odpravljena v 24 urah. Uporabniki lahko namestijo popravke ali pa ponovno prevedejo PHP z dodatnimi zastavicami.

Slo-Tech - Seznam najbolj spektakularnih računalniških napak v zgodovini se sicer pojavi večkrat, a nič ni narobe, če si ga pogledamo vsako leto in si osvežimo spomin. Nazadnje so to storili na PC Pro. Nekajkrat so šle stvari narobe zaradi računalniških hroščev, spet drugič zaradi človeškega faktorja, vsem pa je skupna velikanska cena odprave posledic.

Na kratko nanizajmo katastrofe, ki so jih opisali v svojem članku. V 80. letih preteklega stoletja so Američani sumili, da jim bodo Rusi skušali ukrasti programsko opremo za nadzor in uravnavanje pretoka skozi plinovode, zato so jim podtaknili pokvarjeno. KGB je iz kanadskega podjetja resnično presnel program, a Rusi niso ugotovili, da je imel vgrajeno časovno bombo, ki je po sprožitvi naključno...

Slashdot - Pred točno desetimi leti smo se tresli v pričakovanju strašnega tisočletnega hrošča, pa se ni zgodilo praktično nič. Desetletni hrošč je prizadel orodje za boj proti nezaželeni elektronski pošti SpamAssassin, ki pošto poslano v letu 2010 označi kot spam. Eno izmed pravil za označevanje spama je namreč po mnenju avtorjev programa tudi datum sporočila, ki leži preveč v prihodnosti. V pravila so namreč vpisali vrstico header FH_DATE_PAST_20XX Date =~ /20[1-9][0-9]/ [if-unset: 2006], ki povzroči omenjeno obnašanje. Rešitev je sprememba datuma v pravilih na leto 2020.

Slashdot - Na Slashdotu poročajo o zanimivem hrošču v Excelu 2007, ki so ga odkrili na Googlovih skupinah. Težav tokrat ne povzroča neka obskurna operacija, temveč množenje.

Opaziti je, da operacija 850 * 77.1 vrne rezultat 100.000 namesto pravilnega 65.535 (0xFFFF v šestnajstiškem sestavu). To pravzaprav ni osamljen primer, saj so našteli cel kup primerov, ki bi morali dati enak rezultat, a namesto tega vrnejo enako napako. Hrošč se v prejšnjih verzijah ne pojavlja. Dodatek: Microsoft je hrošča uradno priznal in pokomentiral.

MSNBC - Odkrili so nov hrošč v Microsoftovem brkljalniku Internet Explorerju, ki omogoča hekerjem, da lahko preberejo e-pošto in datoteke na prizadetem računalniku.
Hrošč se lahko samo aktivira, če uporabnik pri surfanju na Internet Explorerju 5 naloži spletno stran, ki vsebuje posebno zlonamerno kodo. Prav tako mora uporabnik uporabljati Microsoft Exchange 2000 server, da se hrošč pojavi.
Rizik hrošča je ocenjen kot visok, vendar pa lahko rizik omilimo, če onesposobimo Active Scripting v brkljalniku.