Financial Times - Microsoft je včeraj ostro napadel vlado ZDA in njene vohunske agencije zaradi neodgovornega ravnanja s kibernetskimi orožji, kar naj bi vodilo do napada izsiljevalskega virusa WannaCry. „Vlade vseh držav morajo dogajanje zadnjih dni razumeti kot klic k streznitvi,“ so zapisali pri Microsoftu in prvič tudi uradno potrdili to, kar je večina sveta sumila zadnjih 72 ur: WannaCry so razvili pri NSA. Sicer je res, da je bil virus ukraden in da je v zadnjih dneh bil zlorabljen s strani neznane osebe ali skupine in ne ameriški supervohunov. Vendar, tako Microsoft, dogajanje je spet pokazalo, da vlade in državne agencije ne smejo ustvarjati baz o ranljivostih v informacijskih sistemih. „Spet se je zgodilo, da so ranljivosti, za katere je uradno vedela le vlada, bile ukradene in...

Wired News - Podjetje Zerodium, ki ga vodi znani Chaouki Bekrar, je sporočilo, da so izplačali milijon dolarjev neimenovani skupini, ki je našla zero-day ranljivosti v najnovejšem Applovem operacijskem sistemu iOS 9.1. Te omogočajo prevzem nadzora ob obisku neke spletne strani, ne da bi uporabnik to vedel.

Bekrar je znan predvsem kot vodja francoskega podjetja VUPEN, ki se ukvarja z zbiranjem, odkrivanjem in predvsem preprodajo podatkov o neznanih ranljivostih v programski opremi. Njihove stranke so obveščevalne agencije, velike korporacije ter vojaški opremljevalci. VUPEN je v preteklosti povzročil že precej ogorčenja, ker javno priznavajo, da nimajo nobenega namena obveščati proizvajalcev o ranljivostih ali jih celo javno...

Heise - Francoski VUPEN, ki ga poznamo kot večkratnega zmagovalca hekerskega tekmovanja Pwn2Own in podobnih natečajev ter kot vodilno varnostno podjetje, ki se ukvarja z iskanjem ranljivosti v programski opremi in prodaji podrobnosti o luknjah, se seli. Svoj sedež bodo iz Montpellierja zaradi francoske birokracije v eno izmed prožnejših držav. Omenjajo se Luksemburg, Singapur in ameriška zvezna država Maryland, kjer že imajo podružnico. Ni še povsem jasno, ali bodo podjetje le preselili, ali pa ga bodo poslali v likvidacijo in se v tujini organizirali povsem na novo.

Kot je povedal vodja VUPEN-a Chaouki Bekrar, so problem izvozne omejitve v Franciji. Dejal je, da sicer razume in podpira izvozne omejitve za nevarno tehnologijo, kamor sodijo tudi javnosti...

Yahoo News - Najdražji in najbolj nehvaležen del pisanja programske opreme je testiranje in iskanje ranljivosti. Neposredne dodane vrednosti to ne prinaša, zgolj stroške, a lahko prihrani velike stroške v prihodnosti. Podjetja poizkušajo to delo naprtiti zunanjim izvajalcem na različne načine, pri čemer je eden izmed najučinkovitejših načinov nagrajevanje ranljivosti. Nekaj stotakov ali tisočakov za odkrito ranljivost je malenkost v primerjavi s ceno, ki bo jo imel redno zaposleni strokovnjak ali bolje cela armada takih ljudi v podjetju. Zato ni presenetljivo, da imajo Facebook, Google, Mozilla, Microsoft in številna druga podjetja posebne programe (bug bounty), kako finančno nagradijo prijavljene ranljivosti.

Yahoo pa tega doslej ni imel. Kdor je Yahooju poslal podatke o...

ZDNet - Microsoft se pridružuje čedalje večji skupini podjetij (najbolj znana so Google, Mozilla in Facebook), ki nagrajujejo ranljivosti, ki jih uporabniki oziroma raziskovalci odkrijejo v njihovih izdelkih. Doslej so to počeli le v okviru programa BlueHat, ki je potekal kot tekmovanje, ko so razdelili tudi do četrt milijona dolarjev. Sedaj pa prihaja stalni natečaj.

Kot pojasnjujejo v Redmondu, so včasih ljudje z odkritimi ranljivostmi prihajali neposredno k njim. Sčasoma je to izzvenelo, zato želijo to početje znova obuditi. Zanimivo pa je, da bo Microsoftov program vključeval tudi beta verzije izdelkov, kar je novost. Recimo Internet Explorer 11, ki pride v beta inačici z Windows 8.1 (Blue), bo že tak primer. Microsoft pravi, da drugod raziskovalci niso motivirani, da bi...

CNet - Prodajanje programske opreme se težko primerja s prodajo klasičnih fizičnih dobrin, zato mnogokrat beremo raznorazne primerjave o poštenosti različnih omejitev, ki jih postavljajo proizvajalci. Nekatere primerjave so poštene, druge so iz trte izvite. Karkoli si že o tem mislimo, navaditi smo se morali, da pri komercialni programski opremi večinoma kupujemo licenco za uporabo, ne postanemo pa lastniki programa. Od tod sledi kopica omejitev (ena licenca pomeni en računalnik, če ni drugače dogovorjeno, omejena preprodaja rabljene programske opreme itd.), ki jih moramo upoštevati. Vseeno pa je doslej klasični model prodaje poznal tako imenovane večne licence. Ko ste program kupili, ste ga lahko uporabljali neomejeno časa - in prav zato mnogokod še vedno uporabljajo Windows 95, ker na primer...

CNET - Končna verzija Microsoftovega najnovejšega brskalnika Internet Explorer 10 je sicer izšla že lani jeseni, a je bila omejena na najnovejša Windows Server 2012 ter Windows 8. V Redmondu pa so že pred izidom najavili, da bo Internet Explorer 10 na voljo tudi za Windows 7 (za starejše izdaje pa ne). Danes so izpolnili obljubo, saj so po več mesecih pacanja beta in predoglednih verzij izdali Internet Explorer 10 za Windows 7. To je pomemben mejnik, saj Windows 7 (in tudi Windows Server 2008 R2, če smo natančni) s tem dobiva moderen brskalnik.

Internet Explorer 10 namreč ni le lepotna nadgradnja Internet Explorerja 9, temveč prinaša številne pomembne novosti. Je stabilnejši, hitrejši in predvsem podpira večje število standardov. Tako Windows 7 z IE10...

TheNextWeb - Ko je januarja z velikim pompom izšla stran Mega, so bili odzivi precej mešani. Nekateri so nov digital locker, kjer je vsebina šifrirana in zato nedosegljiva vsem razen lastniku, pohvalili, drugi so tarnali nad številnimi ranljivostmi. Ustanovitelj Kim Dotcom je svojo stvaritev vzel v bran in dejal, da njihova implementacija ostaja nezlomljiva in razpisal nagrado 10.000 evrov za vsako večjo ranljivost, ki jo odkrijemo.

Te so razdelili v šest razredov od najresnejših do zgolj teoretično uporabnih. Do danes je bilo odkritih že sedem ranljivosti, ki so jih medtem že popravili in izplačali prve nagrade. Od tega je ena ranljivost četrtega razreda, tri tretjega, ena drugega in dve prvega. Dotcom je resno mislil z najavo nagrajevanja odkritih ranljivosti, saj so prve izplačila že...

Reuters - Mesec dni po uradnem začetku prodaje Windows 8 (ki ga je mogoče prek drugih legalnih kanalov dobiti že od avgustovskega RTM-ja) lahko ocenimo, kako so uporabniki sprejeli nov operacijski sistem. Rezultati so pomembni, saj ima Windows 8 dva velika izziva. Prinaša precejšnjo spremembo v uporabniškem vmesniku (starega je s triki mogoče dobiti nazaj, a vendarle), poleg tega pa tekmuje z Windows 7, ki je resnično dober operacijski sistem, in ponekod celo z Windows XP. Prvi rezultati kažejo, da je prodaja solidna, a daleč od rekordnih številk in (tihih) Microsoftovih pričakovanj.

V prvem mesecu so prodali 40 milijonov licenc Windows 8. Natančne primerjave z Windows 7 nimamo, je pa Microsoft povedal, da so tedaj v prvih 10...

TheNextWeb - O nekoliko skrivnostnem francoskem podjetju VUPEN običajno beremo, ko objavljamo rezultate hekerskih tekmovanj. Tam navadno zasedajo prva mesta in uspešno razbijajo zaščito v vseh najnovejših operacijskih sistemih in brskalnikih (zelo uspešni so, recimo, na Pwn2Own). A VUPEN je še marsikaj drugega. In včeraj so objavili, da so v Windows 8 in Internet Explorerju 10 našli nekaj neodkritih ranljivosti. Nas mora skrbeti?

Letos marca smo obširneje pisali o poslu, s katerim se ukvarjajo. VUPEN ima zaposlene vrhunske strokovnjake, ki iščejo ranljivosti v popularni programski opremi. Vsak trenutek imajo na zalogi kopico proizvajalcem neznanih ranljivosti (0-day), ki jih prodajajo zainteresiranim strankam. VUPEN odkritih ranljivosti ne obeša na veliki...

Microsoft - Microsoft popravke za svoje programe izdaja vsak drugi torek v mesecu in redko se zgodi, da je treba kakšnega izdati izredno in že prej. Za Internet Explorer se je to nazadnje zgodilo januarja 2010. To se bo spet primerilo danes, ko bodo izdali popravek za pretekli teden odkrito ranljivost v Internet Explorerju, ki ogroža vse verzije do vključno IE9. Če uporabnik z ranljivim brskalnikom obišče zlonamerno stran, se na njegov računalnik samodejno namesti malware. IE10, ki ga vsebuje Windows 8, pa je imun.

Napadi, ki izkoriščajo omenjeno ranljivost, se že dogajajo, čeprav Microsoft zatrjuje, da je njihovo število majhne, posledice pa omejene. V ta namen je Microsoft ponudil tudi prvo pomoč, ki...

Microsoft - Kot je v navadi, je včeraj pozno popoldne Microsoft izdal redni mesečni paket popravkov za svojo programsko opremo. Danes zjutraj so nas tako na računalnikih pričakala obvestila, bodisi da so bili nameščeni novi popravki bodisi da čakajo na prenos in namestitev. Poglejmo si torej, kaj je Microsoft pripravil.

Bera tega meseca je nekoliko lažja kot v povprečju, saj vsebuje samo dva popravka za varnostne ranljivosti in nekoliko več ostalih popravkov. Zakrpali so luknjo v Visual Studio Team Foundation Server 2010 SP1, ki omogoča eskalacijo privilegijev ob obisku zlonamerne spletne strani, kar lahko nepridipravi izkoristijo za dostop do sistema. Drugi popravek naslavlja isto ranljivost še v Systems Management Server 2003 SP3 in System Center...

Microsoft - Včeraj je bil drugi torek v mesecu in tradicionalno je to dan, ko Microsoft izda mesečni paket popravkov za svoje operacijske sisteme. Na internetu so se pojavili zvečer po slovenskem času, tako da so nas danes zjutraj računalniki prijazno obvestili, da so na voljo nove posodobitve oziroma da se morajo ponovno zagnati, če imate nastavljeno avtomatično nameščanje. Devet obližev je zakrpalo šestindvajset lukenj, s čimer se avgust uvršča med plodnejše mesece. Mnogo ranljivosti ima oznako kritično, zato je namestitev priporočljiva čim prej.

Najpomembnejši so popravki MS12-052 za Internet Explorer 6 in novejše, ki odstrani možnost izvajanja poljubne kode z obiskom zlonamerne strani, MS12-053 za Windows XP, ki zakrpa ranljivost v protokolu...

ZDNet - Naslednji brskalnik, ki je padel na letošnjem hekerskem tekmovanju Pwn2Own v kanadskem Vancouvru, je Internet Explorer. Po tem ko je francoska skupina VUPEN takoj po začetku tekmovanja razsula Googlov Chrome (Chrome sicer letos tehnično ni del uradnega Pwn2Own, a to ni pomembno), so sedaj uspešno kompromitirali še računalnik s sveže nameščenim Windows 7 SP1 in Internet Explorerjem 9 z vsemi popravki.

Chaouki Bekrar iz VUPEN-a pojasnjuje, da so uporabili zelo staro ranljivost, povezano s prekoračitvijo kopice (heap overflow), s čimer so obšli DEP in ASLR, in nepovezano ranljivost v upravljanju s pomnilniškim prostorom. Luknja se je prvikrat pojavila že v Internet Explorerju 6 in do danes ni bila javno razkrita, tako da...

Slashdot - Raziskovalci iz francoskega VUPEN-a so objavili, da so odkrili resno ranljivost v Googlovem brskalniku Chrome, ki omogoča zaobiti vse varnostne mehanizme (ASLR, DEP in Chromov peskovnik) ter tiho (to pomeni, da se brskalnik ne sesuje po izvršitvi) izrabiti neobjavljeno (0-day) ranljivost za izvedbo zlobne kode. Ranljivost učinkuje na vseh operacijskih sistemih Windows, ne glede na verzijo ali bitnost. Podrobnosti, razumljivo, javno niso razkrili.

Ranljivost obstoji tudi v najnovejši verziji brskalnika Chrome 11.0.696.65 na Windows 7 SP1. Njeno delovanje so prikazali v spodaj priloženem videoposnetku. Vidimo, da se po obisku posebej prilagojene spletne strani z oddaljene lokacije na računalnik prenese zunanja koda (konkretno Računalo)...