PHP - Minuli četrtek je izšel nujni varnostni popravek 5.3.10 za priljubljeni skriptni jezik PHP. Kot se je izkaže, so razvijalci med reševanjem precej manjšega varnostnega problema v predprejšnji različici (10.1. letos) nehote odprli vrata za mnogo resnejšo napako, ki omogoča celo oddaljeno izvršitev napadalčeve kode.

Izvorna napaka v PHP <= 5.3.8 je zadevala funkcijo za sprejem parametrov HTTP zahtevka (v stilu iskalnik.php?q=slo-tech&orderby=date). Posamezni parametri so se najprej primerjali po njihovi zgoščeni vrednosti (hash) in kot vemo, ima lahko več različnih nizov isti hash, vendar je sorazmerno težko najti še en niz z že določenim hashem. Napad, za katerega obstaja tudi proof-of-concept exploit (PoC), je zoper php strežnik poslal gručo zahtevkov z več tisoč parametri, od katerih so mnogi imeli isto zgoščeno vrednost. To je na določenih strežnikih lahko povzročilo preobremenitev sistema in s tem DOS (denial of service) napad.

Popravek 5.3.9 je preprosto dodal novo php.ini...

The H - Microsoft je, kot vedno, na drugi torek v mesecu izdal svojo bero varnostnih popravkov. Tokrat prideta samo dva kompleta popravkov za Okna in trije za Office, kar je opazno manj kot prejšnje mesece. Nobeden od popravkov tudi ne nosi oznake critical, se pa popravlja precej resno priviledge escalation napako v WINS strežniku, ter nekoliko otežuje podtikanje okuženih knjižnic (binary planting oz. DLL hijacking). Obe pomanjkljivosti namreč potrebujeta predhoden dostop do sistema.

Za to zadnje mesece skrbijo predvsem zastarele različice (manj) jave in (bolj) Adobe Acrobat readerja. Ta na videz...

Slo-Tech - V petek pozno zvečer je Adobe izdal opozorilo, da so Flash Player 10.0.45.2 in zgodnejše različice za Windows, Mac, Linux in Solaris ranljive zaradi varnostne pomanjkljivosti 0-day (to pomeni, da se napaka zlorablja že ob dnevu razkritja). Ranljiva je tudi knjižica authplay.dll, ki je del Adobe Acrobata in Acrobat Readerja 9.x za Windows, Mac in Linux. Luknja lahko povzroči sesutje računalnika in napadalcu omogoči prevzem nadzora. Obstajajo poročila, da se luknja že zlorablja. Najnovejši Flash Player 10.1 Release Candidate naj bi bil imun.

Adobe priporoča, da do izida popravka uporabniki preimenujejo, odstranijo ali onemogočijo dostop do datoteke authplay.dll. S tem bodo napadalcem preprečili zlorabo, bo pa program javil napako ob opiranju PDF-datotek z vsebino SWF (Flash). Acrobat in Acrobat Reader verzije 8.x nista ranljiva. Kdaj bo na voljo obliž, še ni znano.

Slashdot - Adobe je dobro znano podjetje vsem računalniškim navdušencem, predvsem zaradi zelo razširjenega PDF formata, ki se je uveljavil kot standard elektronskih dokumentov. O nevarni pomankljivosti se je že sušljalo po internetu, sedaj pa so iz Adoba potrdili, da ta nevarnost dejansko obstaja in je še niso odpravili.

Ogroženi so vsi računalniki, ki imajo nameščene Windows XP, IE7 ter enega od Adobeovih produktov (Adobe Reader, Adobe Acrobat Standard, Professional and Elements and Adobe Acrobat 3D).

Vir


Koliko računalnikov na internetu ima Windows XP, IE7 in enega od Adobeovih produktov?

Monitor - Pri podjetju Adobe so oznanili nakup orodja za delo z zvokom -- Cool Edit Pro. Kupili so ga od podjetja Syntrillium, kjer so orodje razvijali že od samega začetka. Adobe za novo pridobitev načrtuje nekaj sprememb in vključitev v ponudbo ostalih programskih paketov, ki jih že ponuja na trgu. Cool Edit Pro sodeč po temah v našem forumu uporablja marsikdo, tako da upajmo na ohranitev njegove uporabnosti.

Adobe je v teh dneh izdal tudi novo različico zelo priljubljenega bralnika PDF-dokumentov, ki jih je na spletu vedno več -- Adobe Reader 6.0 (znan tudi kot Adobe Acrobat Reader). Nova različica omogoča ogled video posnetkov, animacij Flash in druge multimedijske vsebine v PDF dokumentih, ogled e-knjig, podporo pri organizaciji slikovnega gradiva, tiskanje z brezžičnih naprav ... Dolvleka in izvirna novica.