Slo-Tech - Google je pred tednom dni sporočil, da je v Windows odkril ranljivost (CVE-2020-17087), ki jo hekerji že aktivno izkoriščajo, zato je Microsoftu dal na razpolago le sedem dni za zakrpanje. Microsoft tako kratkega roka ni izpolnil, zato je Google v v petek zvečer razkril podrobnosti ranljivosti. Ta je nezakrpana (0-day), aktivno napadana in sedaj povsem razkrita. Microsoft bo popravek izdal ob naslednji priložnosti, to je drugi torek v mesecu (10. novembra) na tako imenovani Patch Tuesday.

Googlov Project Zero je namenjen iskanju ranljivosti v najrazličnejši programski opremi več proizvajalcev. O odkritih ranljivostih obvestijo proizvajalca, ki ima potem 90 dni časa, da izda popravek. Google po izdaji popravka ali najpozneje v 90 dneh javnosti razkrije podrobnosti ranljivosti, s čimer se poskrbi, da imajo proizvajalci motivacijo v doglednem času izdelati popravek. Roki pa se spremenijo, ko je ranljivost že aktivno zlorabljena. V tem primeru Google počaka le sedem dni, kar v...

Slo-Tech - Včeraj dopoldne smo izvedeli za ranljivost, zaradi katere so brezžična omrežja precej manj varna, kot smo to mislili. V protokolu WPA2, ki ga uporabljajo številna omrežja Wi-Fi, so raziskovalci odkrili resno ranljivost, ko omogoča prisluškovanje prometu med napravami, ki so povezane v omrežje. Napad se imenuje KRACK (Key Reinstallation Attacks) in sta ga v danes objavljenem članku opisala raziskovalca z belgijske KU Leuven Mathy Vanhoef in Frank Piessens.

Čeprav je ranljivost velika in so prizadete skoraj vse naprave (od Androida...

Slo-Tech - Google je ponovno ujezil Microsoft, saj je spet razkril podrobnosti o varnostni luknji, preden je Microsoft pripravil in izdal popravek zanjo. To se načeloma ne počne, a če proizvajalec luknjičaste programske opreme ne reagira na opozorila o luknji, je to sprejemljiva poteza. Google in Microsoft sta se že pred dvema letoma pregovarjala, ali je 90 dni dovolj dolgo obdobje, da bi proizvajalec moral pokrpati luknje. Google vztraja pri brezpogojnem spoštovanju tega lastnega roka, zato njegovi raziskovalci po 90 dneh od obvestila proizvajalcu luknjo razgrnejo javnosti, medtem ko Microsoft poudarja, da stvari niso črno-bele. Pred tremi meseci se je zgodilo isto in spet je Microsoft tarnal, da se Google obnaša grdo.

To pot se je zgodilo podobno. Google je razkril...

Google - Google in Microsoft sta se spet zapletla v besedno vojno glede razkrivanja nezakrpanih ranljivosti. V Mountain Viewu že leta zagovarjajo pristop, da je treba javljene ranljivosti zakrpati takoj ali najpozneje v sedmih dneh, kadar se aktivno izrabljajo, medtem ko se Microsoftu ne mudi tako zelo.

Google je pred poldrugim tednom (21. oktobra) Microsoft in Adobe obvestil, da v Flashu in jedru Windows obstajata kritični ranljivosti. Adobe je hitro reagiral in 26. oktobra luknjo zakrpal v posodobitvi za Flash, Microsoft pa ne. Ker je ranljivost resna, saj omogoča eskalacijo privilegijev pri uporabi Chroma in s tem pobeg iz varnega peskovnika, je Google včeraj javno objavil podrobnosti o ranljivosti. S tem želi pritisniti na Microsoft, da ta čim hitreje izdela...

Slo-Tech - V Linuxu so odkrili in v večjih distribucijah danes že tudi zakrpali ranljivost, ki je bila kodi jedra prisotna tri leta in je omogočala napadalcem prevzem popolnega nadzora (root) nad računalnikom, če so imeli na voljo omejen račun. Ranljivost je odkrilo izraelsko podjetje Perception Point. Dobila je oznako CVE-2016-0728. Za zdaj ni nobenih indicev, da bi jo kdo v praksi že zlorabljal, je pa z javnim razkritjem to postalo precej verjetneje, zato je toliko pomembneje posodobiti sisteme.

Ranljivost je prisotna v vseh verzijah jedra od vključno 3.8 dalje (torej od začetka leta 2013), prizadet pa je tudi Android od verzije 4.4 (KitKat) dalje. Ranljivost je posledica hrošča v keyringu, ki v Linuxu hrani šifrirne ključe, žetone in druge občutljive podatke, do katerih aplikacije ne smejo imeti neomejenega dostopa....

Slo-Tech - Medtem ko Apple vsaj približno skrbi za red v ekosistemu iOS in uporabnikom ponuja redne nadgradnje, je stanje na androidnem polu bistveno slabše. Kar se tiče verzij operacijskega sistema, vlada prava džungla. Google sicer redno izdaja posodobitve in nove verzije, potem pa se običajno zatakne pri proizvajalcih telefonov. Dokler ti novosti ne spakirajo v obliko za prenos do končnih uporabnikov (OTA), imajo ti nezaščitene telefone. Mnogokrat se zgodi tudi, da starejši telefoni nikoli ne dobijo nadgradenj, pa čeprav jih je Google izdal.

In rezultat je tak, kot ga prikazuje najnovejša študija Univerze v Cambridgeu. V povprečju je bilo v zadnjih štirih letih vsak trenuten ranljivih oziroma nezaščitenih 87,7 odstotka androidnih telefonov. To so merili z lastno aplikacijo...

Google - Google je v novi različici politike razkrivanja ranljivosti nekoliko omilil časovne roke, ki so v začetku tega leta povzročili veliko hude krvi. V okviru Projecta Zero je namreč Google našel ranljivosti v Microsoftovi in Applovi programski opremi, o čemer je proizvajalca obvestil. Ko v 90 dneh popravkov ni bilo, je Google v skladu s svojo politiko podrobnosti ranljivosti javno razkril, kar je hudo razburilo Microsoft in Apple. Microsoft je na primer imel popravek že bolj ali manj končan in je čakal še zadnje faze testiranja pred izdajo, kar so Googlu sporočilu, a so bili v Mountain Viewu neomajni; 90 dni je dovolj za vsakogar.

Sedaj so pri Googlu vendarle nekoliko omilili svojo politiko. Še vedno vztrajajo pri 90-dnevnem roku za razkrivanje ranljivosti, kar...

Slo-Tech - V Linuxovi knjižnici glibc so odkrili resno ranljivost, ki se je je prijelo ime GHOST (zaradi funkcije GetHOST) in napadalcu omogoča prevzem nadzora nad sistemom. Problematične so funkcije gethostbyname*() (ki kličejo __nss_hostname_digits_dots(), ki je občutljiva na prekoračitev predpomnilnika) v glibc (GNU C Library) v verzijah 2.17 in starejših. Že maja 2013 je sicer izšla verzija 2.18, ki ranljivosti ni več vsebovala, a je tedaj niso prepoznali in označili kot ranljivosti, zato vsi niso izvedli nadgradnje. Qualys so bili prvi, ki so ranljivost tudi identificirali. Prizadeta programska oprema med drugim vključuje clockdiff, procmail, pppd in Exim.

V podjetju Sucuri pa so ugotovili, da so potencialno ranljive vse v PHP napisane aplikacije, ki uporabljajo problematično funkcijo (recimo WordPress), kar bistveno razširi možnosti zlorab, saj je ranljivost mogoče zlorabljati...

Ars Technica - Google nadaljuje svojo politiko brezkompromisnega objavljanja podrobnosti o varnostnih pomanjkljivostih in ranljivostih v tuji programski opremi, ki je minuli teden zanetila spor med Googlom in Microsoftom. Obelodanili so detajle še dveh ranljivosti, ki se pojavljata v Windows 7 (obe) in Windows 8.1 (samo ena). Microsoft ni navdušen.

Ključno vprašanje je definicija odgovornega razkritja. Google vztraja pri 90-dnevnem roku od obvestila proizvajalcu ranljive programske do javnega razkritja. Obstoj roka je razumljiv, saj s tem neodzivnega proizvajalca prisilijo v zakrpanje luknje. A Microsoft še ni neodziven, le nekoliko počasen je.

Google se je odločil, da bo lasten 90-dnevni rok brezpogojno spoštoval, ne glede na okoliščine in zagotovila proizvajalcev....

Slo-Tech - Google in Microsoft nadaljujeta obmetavanje z razkrivanjem ranljivosti in obtoževanje, kdo slabše skrbi za svoje uporabnike. Začel je Google, ki je konec decembra javno razkril podrobnosti o ranljivosti v Windows 8.1, še preden je Microsoft uspel zakrpati luknjo. Slednji mu ni ostal dolžan in je izpostavil, da ima Android 4.3 ranljivost, ki pa je Google sploh ne namerava odpraviti.

V zelo starih časi so se ranljivosti takoj po odkritju priobčile javnosti, proizvajalci programske opreme pa so hitro spisali popravke. Kasneje se je ta način umaknil tako imenovanemu odgovornemu razkritju (responsible disclosure) oziroma koordiniranemu razkritju ranljivosti (coordinated vulnerability...

threatpost - Večno vprašanje, ki si ga dobri hekerji pri odkritju varnostnih ranljivosti zastavljajo, je, kdaj razkriti luknjo javnosti. S tem namreč dobijo tudi nepridipravi, ki za ranljivost morda še niso izvedeli, vse informacije za njeno izrabljanje in začne se dirka med proizvajalcem programa (pisanje popravka) in uporabniki (namestitev popravka) na eni strani ter napadalci na drugi strani. Odgovorno razkritje je doktrina, da naj najditelj luknje najprej obvesti proizvajalca, javnost pa šele po izdaji popravka. A včasih se zgodi, da popravka v doglednem času ni in ni. Druga možnost je takošnje razkritje celemu svetu, kar ima druge prednosti in slabosti.

Google je že pred leti začel zagovarjati vmesni pristop, ki da razvijalcem programa 60 dni časa za...

ComputerWorld - V Vancouvru poteka že sedmi Pwn2Own, kakor se imenuje vsakoletno tekmovanje v iskanju ranljivosti in njihovi uporabi za vdor v priljubljene operacijske sisteme, brskalnike in mobilne naprave. Letos se ponovno vrača Google, ki je lani sponzorstvo odpovedal, ker spremenjena pravila niso zahtevala razkritja uporabljenih ranljivosti proizvajalcu. Letos je spet vse po starem, saj morajo tekmovalci razkriti vse detajle o ranljivosti, da si prislužijo nagrado (tehnično gledano jim ZDI ranljivost odkupi). Nagradni sklad ni skromen in znaša dobrega pol milijona dolarjev.

Prvi dan tekmovanja so že padle največje zvezde. Francosko podjetje VUPEN, ki je vodilno v iskanju in žal tudi trgovanju...

ZDNet - Znano je, da Microsoft redno objavlja poročila in podatke o ranljivosti svoje programske opreme, manj ljudi pa ve, da to počno tudi za programe tretjih proizvajalcev. V programu MSVR (Microsoft Vulnerability Research), ki teče že od leta 2008, redno prijavljajo napake tretjim proizvajalcem, letos pa so spremenili tudi politiko MSRC-ja (Microsoft Security Response Center), tako da zanje občasno izdajajo tudi varnostna priporočila.

Pri tem so zelo produktivni. V zadnjem letu, torej od julija 2010, so odkrili 109 ranljivosti v programski opremi tretjih proizvajalcev in jim to diskretno javili. Samo avgusta letos so odkrili kritične ranljivosti v WordPressu in Safariju, pretekli mesec pa v Google Picasi in Facebooku. Skupno so v zadnjem...

CNet - Microsoft in Adobe sta na varnostni konferenci Black Hat, ki te dni teče v Las Vegasu, objavila, da bo Apple sprejel Microsoftov model informiranja o varnostnih ranljivostih v svoji programski opremi proizvajalcev programske zaščite pred izidom popravkov. Microsoft je program MAPP (Microsoft Active Protections Program) uvedel leta 2008 in od takrat proizvajalcem poroča o varnostnih luknjah pred uradno izdajo popravka, tako da lahko ti pripravijo ustrezno zaščito že prej. Microsoft ocenjuje, da so s tem zmanjšali okno ranljivosti do 75 odstotkov.

Adobe se je zato odločil, da bo ranljivosti v svojih programih istim proizvajalcem razkrival na enak način. Uporabljali bodo enak format, enak...

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke,...