»

Microsoft si res želi, da imate spletni uporabniški račun

Slo-Tech - Ni nova ugotovitev, da bi Microsoft nadvse rad opravil z lokalnimi računi na operacijskem sistemu Windows in dosegel, da bodo imeli vsi uporabniki svoj profil, torej spletni račun. Že pred petimi leti je Windows 10 Home to zahteval, razen če računalnik ni imel povezave z internetom, kar je bil edini obvoz za namestitev z lokalnim računom. Sprva je bila tudi ameriška omejitev, kasneje se je razšila po svetu. Trend oziroma želje ostajajo enaki.

Windows 11 je še vedno možno namestiti z lokalnim računom, a je to precej nepraktično. Med obema variantama je možno tudi prehajati, a Microsoft tega res noče. Tako zelo so proti, da so s spletnih strani umaknili navodila, kako lahko Microsoft Account spremenimo v lokalni račun. Do 17. junija so bili ti podatki na spletu, skupaj z navodili za prehod v obratno, zaželeno smer, sedaj pa so izginili. Postopek sicer ni zapleten, saj zadostuje sprehod v Settings (Nastavitve) in izbira Accounts < Your Info < Sign in with a local account instead. Microsoft je seveda imel poleg navodil še opozorila,...

91 komentarjev

Hrošč v Ubuntu omogoča ustvaritev administratorskega računa

Slo-Tech - V Linuxovi distribuciji Ubuntu je Kevin Backhouse odkril hrošča, ki navadnemu uporabniku omogočata eskalacijo privilegijev in ustvaritev računa z administratorskimi pravicami. Izraba ne zahteva nobenega posebnega računalniškega znanja, kaj šele programiranja. Ranljivost deluje le, če imamo dostop do lokalnega računa in grafičnega vmesnika, torej je ne moremo zlorabiti na strežnikih.

Prva ranljivost tiči v servisu accountsservice, ki upravlja z uporabniškimi računu v sistemu in ki komunicira z accounts-daemon. Ker accountsservice poišče datoteko .pam_environment, ga je možno zrušiti z vzpostavitvijo bližnjice, ki v to ime poveže neskončno dolgo datoteko ničel (/dev/zero). Če potem pošljemo accounts-daemonu pošljemo SIGSEGV, ga lahko tudi kot navadni uporabnik zrušimo (to ne bi smelo biti možno). Drugi hrošč tiči v GNOME Display Managerju (gdm3), ki med drugim ob sveži namestitvi ustvari prve račune - in prvi uporabniški računa mora biti administratorski. Ključ je v tem, da gdm3 to...

19 komentarjev

Windows 10 Home nas sili v uporabo spletnega računa

Slo-Tech - Microsoft ne skriva, da želi ljudje prikleniti v svoj ekosistem, kamor sodi tudi ustvaritev spletnega računa pri Microsoftu. Nova verzija Windows 10, ki je izšla nedavno, namreč v angleško govorečem svetu uporabnikom sploh ne želi dovoliti uporabe z lokalnim računom (torej brez spletne registracije pri Microsoftu). Obvoz sicer obstaja in ni težaven, je pa to jasen pokazatelj, kam Microsoftova barka plove.

Že septembra je sicer Microsoft v okviru programa Windows Insider Preview na manjšem vzorcu uporabnikov preizkušal novo zamisel, ki je tudi tedaj dvignila obilico prahu. Ker so preizkus kmalu končali, je zamrla tudi diskusija, ki jo je obudila šele končna verzija s to isto funkcijo. V angleškem Windows 10 Home namreč ni več možnosti pri namestitvi izbrati lokalni račun. Microsoft ponudi le možnost ustvaritve spletnega. Še bolj zanimivo pa je, da je v drugih verzijah, denimo v nemški, vse ostalo po starem, lokalni račun pa povsem dostopna izbira.

Microsoft sicer ni mogel...

108 komentarjev

Huda varnostna luknja v macOS

Slo-Tech - V najnovejši različici Applovega operacijskega sistema macOS High Sierra so odkrili veliko luknjo, ki omogoča prevzem nadzora nad računalnikom vsakemu mimoidočemu. Ranljivost je znana že dva tedna, a se je resnost luknje razkrila šele sedaj. Apple je že izdal popravek, ki jo odpravlja.

Izkaže se, da ima macOS sicer onemogočen administratorski račun (root), a ta ni zaščiten z geslom in ga je mogoče omogočiti, kar omogoča zlorabo. Če ugasnjen računalnik vključimo, se lahko ob pozivu za vnos gesla preprosto vpišemo kot root in pustimo polje za geslo prazno, pa nas bo sistem ob nekaj zapornih pritiskih na vnašalko spustil mimo. Ranljivost je pred dvema tednoma povsem brezbrižno omenil eden izmed uporabnikov kot rešitev težave, če nas macOS zaklene...

21 komentarjev

Cisco odkril ranljivosti v svoji opremi na podlagi Vault 7

Slo-Tech - Zbirka dokumentov CIE, ki jo je pod imenom Vault 7 objavil Wikileaks, že povzroča prve preglavice izdelovalcem računalniške opreme. Cisco je sporočil, da so njegovi strokovnjaki pri pregledu vsebine v Vault 7 odkrili kritično ranljivost v več kot 300 Ciscovih omrežnih napravah, ki napadalcem omogoča popoln prevzem nadzora nad napravo. Razen izklopa Telneta rešitve ta hip še ni, bo pa Cisco v najkrajšem možnem času izdal pravi popravek.

Ranljivost tiči v kodi za Cluster Management Protocol v Ciscovi programski opremi IOS in IOS XE, ki teče na omrežnih usmerjevalnikih in stikalih. Napadalec lahko to ranljivosti izkoristi preprosto tako, da napravi pošlje ustrezno prilagojen ukaz za Telnet. Do izdaje popravka velja izklopiti Telnet na Ciscovih usmerjevalnikih,...

12 komentarjev

Juniper odkril podtaknjena stranska vrata v svojih napravah

Wired News - Drugi največji proizvajalec omrežne opreme na svetu Juniper je v svoji opremi odkril stranska vrata, ki jih je tja verjetno postavila kakšna država oziroma obveščevalna organizacija. Kot so sporočili, so prizadete naprave NetScreen, na katerih teče operacijski sistem ScreenOS. Prizadete so verzije od 6.2.0r15 od 6.2.0r18 in od 6.3.0r12 do 6.3.0r20, kar daje slutiti, da se je ranljivost v kodi skrivala vsaj od leta 2012, mogoče pa celo vse od leta 2008. Stranska vrata so v najnovejši verziji zakrpali, posodobitev pa je praktično obvezna.

Pri tovrstnih odkritjih so namreč najbolj ogroženi uporabniki ranljive opreme, ki posodobitve še niso namestili, in to takoj po izdaji popravkov. Ti namreč morebitnim nepridipravom, ki želijo ranljivosti izkoristiti, dajo zelo dobre smernice, kje najdejo luknjo. Zato Juniper poziva k nadgradnji. Hkrati to kaže na dodatni problem, ki ga...

67 komentarjev

Zloraba spreminjanja bitov v pomnilniku zaradi branja tudi v praksi

Google - Tudi v praksi je mogoče zlorabiti ranljivost rowhammer, ki so jo raziskovalci opisali decembra lani, so pokazali v Googlovem Projectu Zero.

Če na kratko povzamemo decembrsko odkritje, gre za ranljivost, ki je posledica zasnove čipov DDR3. Ker so ti fizično čedalje manjši, večkratno zaporedno branje podatkov iz iste vrstice lahko vpliva na podatke v sosednjih vrsticah. Da napad izvedemo, je treba brati večtisočkrat, preden se zapis v DRAM-u osveži (tipično vsakih 64 milisekund). V tem primeru se lahko spremeni kakšen sosednji bit (bit flip), kar ne vodi nujno do zrušitve sistema. Lahko se namreč zgodi, da pridobimo administratorski dostop do računalnika z eskalacijo privilegijev. Ob odkritju je kazalo, da je ranljivost zelo teoretična in je v praksi ne bo mogoče enostavno zlorabiti, a Google je pokazal, da nas od tega ne loči veliko.

Google je preverjal 29 prenosnih računalnikov in dobra polovica je bila ranljiva. Pokazali so, da je mogoče ranljivost izkoristiti v zločeste namene....

8 komentarjev