Reuters - Varnostno podjetje je našlo resno ranljivost v Microsoftovem oblaku Azure, ki je napadalcem omogočala popoln prevzem nadzora nad drugimi računi. V Redmondu so luknjo zakrpali, medtem ko morajo dostopne ključe stranke zamenjati same.

Prenos informacijskih sistemov v oblak podjetjem ponuja poenostavitev vzdrževanja, a po drugi plati so odvisna od varnostne ravni, ki jo uspe ponudnik storitev v oblaku zagotavljati. Takšna podjetja imajo ponavadi cele vojske varnostnih strokovnjakov, a če se kakšna ranljivost pretolče skozi sito, je lahko skrajno uničujoča, ker je na udaru množica strank. To bi kaj lahko na lastni koži izkusili pri Microsoftu, kjer imajo v zadnjem času res polne roke dela s kibernetskimi napadi in krpanjem odprtin. Varnostno podjetje Wiz je namreč našlo resno ranljivost v osrednji storitvi upravljanja baz podatkov Cosmos DB, oblaka Azure. Poimenovali so jo Chaos DB in je napadalcu omogočala razmeroma enostavno pridobiti primarni vstopni ključ za množico drugih računov...

Slo-Tech - Čeprav je Microsoft izdal nov brskalnik Edge, na katerega želi navaditi čim več ljudi, še vedno številni uporabljajo stari Internet Explorer. Raziskovalec Manuel Caballero je v najnovejši verziji Internet Explorerja odkril nenavadnega hrošča, ki spletnim stranem omogoča dostop do vsebine, ki jo uporabniki zapišejo v naslovno vrstico (address bar). Microsoft je v odzivu za zdaj le megleno dejal, da preiščejo vse prijavljene ranljivosti in popravke ponudijo na običajen način, torej drugi torek v mesecu.

Ko uporabnik Internet Explorerja obišče stran, ki izkorišča omenjeno ranljivost, in jo želi zapustiti tako, da v...

Mozilla.org - Mozilla je podelila prve nagrade v okviru oktobra najavljenega programa Foundational Technology, ki jih prejmejo projekti, na katerih Mozilla temelji oziroma jih močno uporablja. S tem želijo nekaj vrniti odprtokodni skupnosti, iz katere črpajo, hkrati pa projektom dati vzpodbudo za nadaljnje delo in finance za izboljšanje varnosti. To pot si je sedem prejemnikov razdelilo pol milijona dolarjev.

Največji kos je domov odnesel projekt Bro, ki vzdržuje programsko opremo za nadzor mreže in predstavlja glavni del Mozillinega sistema za nadzor vdorov v omrežje. Bro bo prejetih 200.000 dolarjev porabil za postavitev javnega repozitorja za module in dodatke za Bro. Projekt Django je prejel 150.000 dolarjev, ki jih bodo porabili za spremembe jedrne kode (Channels), da...

threatpost - Danes se je v sklopu konference CanSecWest v Vancouvru začelo vsakoletno tekmovanje v vdiranju v brskalnike in operacijske sisteme Pwn2Own. Prvi dan so si tekmovalci prislužili 317.500 dolarjev, ko so zlomili Adobe Reader in Flash, Windows, Internet Explorer 11 in Firefox. Jutri bo na sporedu drugi dan tekmovanja.

Najprej sta ekipi Team509 in KeenTeam razbili Adobe Flash. KeenTeam je Flash razbila že tudi lani. Obe sta letos izrabili isto ranljivost, in sicer sta s prekoračitvijo kopice (heap overflow) izvedli nepooblaščeno kodo ter z eskalacijo privilegijev pridobili dostop do jedra Windows. Prejeli sta 85.000 dolarjev (60.000 za Flash in 25.000 za Windows). Nicolas Joly, ki je svoj čas delal za VUPEN, je prav tako uspešno zlomil...

MSDN Blogs - Microsoft je izpolnil obljubo in pripravil verzijo novega brskalnika Internet Explorer 11, ki teče tudi na starejši verziji operacijskega sistema Windows 7. Ob izidu je namreč podpiral le novi Windows 8.1. Kdor je posebej nestrpen, si jo lahko sname neposredno z domače strani, sicer pa bo na voljo tudi prek Windows Update v rednem ciklu posodobitev.

Internet Explorer 11 prinaša precej novosti. Vizualnih novosti ni, saj na Windows 7 ne bo prinese videza Windows 8, prinese pa vse ostalo (razen podpora za Google SPDY, ki ostaja le v Windows 8.1). Vseeno pa se nadgradnja splača, saj je IE11 hitrejši in podpira več standardov od predhodnika. Pravzaprav to niti ni pomembno, saj bo nadgradnja obvezna in jo bo računalnik slej ko prej vsilil...

Slo-Tech - Raziskava, ki so jo opravili na Univerzi Berkeley, kaže, da je nagrajevanje odkritih varnostnih ranljivosti zelo učinkovita in poceni metoda za iskanje lukenj v programski opremi. V študiji so analizirali programa, ki ju izvajata Mozilla in Google. V zadnjih treh letih je Google iz tega naslova izplačal 580.000 dolarjev, Mozilla pa 570.000 dolarjev. To se sliši mnogo, a v resnici gre za drobiž. Če računamo, da bi morali vrhunskega strokovnjaka plačati od 100.000 dolarjev letno naprej, da bi to počel v podjetju, ugotovimo, da bi s tem zneskom Google lahko zaposlil enega ali kvečjemu dva človeka....

ZDNet - Microsoft je danes ob 18. uri po našem času organiziral veliko novinarsko konferenco v San Franciscu, tako imenovani dogodek Build, kjer so prvi dan predstavili novo verzijo operacijskega sistema Windows 8.1 oziroma Blue. Prvo besedo pred 6000 glav veliko množico udeležencev je imel Steve Ballmer.

Povedal je, da je Windows 8.1 prva verzija, ki jo označujemo kot hitro verzijo (rapid version), saj je Osmica izšla pred vsega osmimi meseci. To politiko v še radikalnejši obliki izvajata Google s Chromom in Mozilla s Firefoxom, Ballmer pa pravi, da bo nova norma tudi za Windows, Office, strojno opremo in vse izdelke iz Redmonda.

Najprej je beseda tekla o telefonih. Lumia 521 bo naprodaj povsod tam, kjer subvencioniranje...

ZDNet - Microsoft se pridružuje čedalje večji skupini podjetij (najbolj znana so Google, Mozilla in Facebook), ki nagrajujejo ranljivosti, ki jih uporabniki oziroma raziskovalci odkrijejo v njihovih izdelkih. Doslej so to počeli le v okviru programa BlueHat, ki je potekal kot tekmovanje, ko so razdelili tudi do četrt milijona dolarjev. Sedaj pa prihaja stalni natečaj.

Kot pojasnjujejo v Redmondu, so včasih ljudje z odkritimi ranljivostmi prihajali neposredno k njim. Sčasoma je to izzvenelo, zato želijo to početje znova obuditi. Zanimivo pa je, da bo Microsoftov program vključeval tudi beta verzije izdelkov, kar je novost. Recimo Internet Explorer 11, ki pride v beta inačici z Windows 8.1 (Blue), bo že tak primer. Microsoft pravi, da drugod raziskovalci niso motivirani, da bi...

ComputerWorld - V Vancouvru poteka že sedmi Pwn2Own, kakor se imenuje vsakoletno tekmovanje v iskanju ranljivosti in njihovi uporabi za vdor v priljubljene operacijske sisteme, brskalnike in mobilne naprave. Letos se ponovno vrača Google, ki je lani sponzorstvo odpovedal, ker spremenjena pravila niso zahtevala razkritja uporabljenih ranljivosti proizvajalcu. Letos je spet vse po starem, saj morajo tekmovalci razkriti vse detajle o ranljivosti, da si prislužijo nagrado (tehnično gledano jim ZDI ranljivost odkupi). Nagradni sklad ni skromen in znaša dobrega pol milijona dolarjev.

Prvi dan tekmovanja so že padle največje zvezde. Francosko podjetje VUPEN, ki je vodilno v iskanju in žal tudi trgovanju...

TheNextWeb - Ko je januarja z velikim pompom izšla stran Mega, so bili odzivi precej mešani. Nekateri so nov digital locker, kjer je vsebina šifrirana in zato nedosegljiva vsem razen lastniku, pohvalili, drugi so tarnali nad številnimi ranljivostmi. Ustanovitelj Kim Dotcom je svojo stvaritev vzel v bran in dejal, da njihova implementacija ostaja nezlomljiva in razpisal nagrado 10.000 evrov za vsako večjo ranljivost, ki jo odkrijemo.

Te so razdelili v šest razredov od najresnejših do zgolj teoretično uporabnih. Do danes je bilo odkritih že sedem ranljivosti, ki so jih medtem že popravili in izplačali prve nagrade. Od tega je ena ranljivost četrtega razreda, tri tretjega, ena drugega in dve prvega. Dotcom je resno mislil z najavo nagrajevanja odkritih ranljivosti, saj so prve izplačila že...

ComputerWorld - Vsakoletno tekmovanje hekerjev Pwn2Own, kjer se v Vancouvru zberejo najboljši iskalci ranljivosti ter napadajo priljubljene brskalnike in operacijske sisteme, bo letos nagradni sklad dvignilo za petkrat, so sporočili prireditelji. Pwn2Own bo letos potekal od 6. do 8. marca na konferenci CanSecWest v Vancouvru pod pokroviteljstvom HP TippingPointa. Nagradni sklad se je dvignil na 560.000 dolarjev.

Glavna nagrada v višini 100.000 gre tistemu, ki bo prvi kompromitiral Chrome na Windows 7 ali Internet Explorer 10 na Windows 8. Uspešen napad na IE9 bo vreden 75.000 dolarjev, Flash in Adobe Reader vsak po 70.000 dolarjev, Safari 65.000 dolarjev, Firefox 60.000 dolarjev in Java 20.000...

TheNextWeb - O nekoliko skrivnostnem francoskem podjetju VUPEN običajno beremo, ko objavljamo rezultate hekerskih tekmovanj. Tam navadno zasedajo prva mesta in uspešno razbijajo zaščito v vseh najnovejših operacijskih sistemih in brskalnikih (zelo uspešni so, recimo, na Pwn2Own). A VUPEN je še marsikaj drugega. In včeraj so objavili, da so v Windows 8 in Internet Explorerju 10 našli nekaj neodkritih ranljivosti. Nas mora skrbeti?

Letos marca smo obširneje pisali o poslu, s katerim se ukvarjajo. VUPEN ima zaposlene vrhunske strokovnjake, ki iščejo ranljivosti v popularni programski opremi. Vsak trenutek imajo na zalogi kopico proizvajalcem neznanih ranljivosti (0-day), ki jih prodajajo zainteresiranim strankam. VUPEN odkritih ranljivosti ne obeša na veliki...

Microsoft - Medtem ko Facebook, Google in Mozilla hrošče v svojih programih in straneh lovijo tudi tako, da najditeljem in prijaviteljem podeljujejo nagrade, se je Microsoft odločil za drugačen pristop. Klasično lovljenje hroščev za nagrado (bug bounties) je po besedah Katie Moussouris, vodje varnostne strategije v Microsoftu, neprimerno, zato so poizkusili nekaj večjega. Na letošnji konferenci Black Hat so predstavili program, ki ponuja 250.000 dolarjev za najboljšo zamisel.

Kot pravi, raziskovalci že sedaj redno javljajo ranljivosti in hrošče Microsoftu, nekaj tisoč dolarjev vredne nagrade pa tega ne bodo spremenile, saj kdor želi, lahko na črnem trgu zanje iztrži mnogo več. Česa se je torej domislil Microsoft?

Gre za razpis BlueHat Prize, kjer je prva nagrada 200.000 dolarjev, druga nagrada 50.000 dolarjev in tretja nagrada enoletna naročnina na MSDN Universal. Vse ti nagrade...