Slo-Tech - Microsoftov aktualni operacijski sistem Windows 11 bo kmalu dobil ukaz sudo, ki ga poznamo iz Linuxa, je napovedal Jordi Adoumie iz Microsofta. Gre za priročen ukaz, ki pomeni superuser do in omogoča poganjanje posameznih programov ali opravil z višjimi privilegiji, kot jih ima uporabnik sicer. S tem lahko razvijalci preizkušajo skripte in popravljanje določene sistemske nastavitve, ne da bi bili ves čas prijavljeni kot administratorji, kar je tvegano.

V Windows 11 bo ukaz omogočil poganjanje orodij s povišanimi privilegiji neposredno iz ukazne vrstice, ki bo sicer tekla z osnovnimi uporabnikovimi privilegiji. Doslej je bila pot do povišanja privilegijev nekoliko bolj okrogla, saj je bilo treba najprej zagnati novo instanco ukazne vrstice kot administrator, nato pa so se tako v njej izvajali vsi ukazi.

Novost je za zdaj na voljo v kanalu Canary, kjer so prihajajoče verzije Windows dostopne razvijalcem. Splošna javnost bo torej novosti deležna proti koncu leta, če gre verjeti...

Slo-Tech - Microsoft je potrdil, da je v Windows 10 bizaren hrošč, na katerega je opozoril Jonas L, in napovedal, da ga bodo kmalu odpravili. Hrošč se je pojavil v posodobitvi aprila 2018 in je kljub opozarjanju, ki traja vsaj od avgusta lani, še vedno aktiven. Za izrabo ne potrebujemo administratorskih privilegijev, povzroči pa okvaro drevesne strukture na disku (ki jo chkdsk sicer običajno reši).

Če v ukazni vrstici vpišemo ukaz cd (vstop v imenik) in ime posebne mape, bo to povzročilo okvaro datotečnega sistema. Windows bo uporabnika obvestil, da je mapa okvarjena in neberljiva, nato pa bo pozval k ponovnemu zagonu sistemu, kjer se bo sprožil chkdsk. Hrošča pa je možno uporabiti tudi drugače. Če izdelamo bližnjico, ki vsebuje pot do te iste mape, bo škodo povzročila že, če je sploh ne zaženemo. Windows namreč skuša prikazati ikono, ki jo gre iskat na ciljno mesto. Na podoben način lahko v orožje spremenimo datoteke ZIP, spletne strani itd. Večinoma trajnih posledic ni, je pa možno napad...

9to5Mc - V Applovi aplikaciji za videoklice FaceTime so odkrili hrošča, ki praktično omogoča prisluškovanje. Na napravah z iOS 12.1 je namreč mogoče vzpostaviti povezavo s klicanim, četudi ta sploh ne odreagira na klic. Zadostuje, da na svojem telefonu (torej na tem, s katerega kličemo), med klicem izberemo Add Person in v skupinski pogovor dodamo sami sebe (svojo telefonsko številko). Na ta način vzpostavimo skupinski klic prek FaceTima, v katerega...

Heise - Na Redditu so odkrili bizaren hrošč v Amazonovem sistemu za prijavo, ki omogoča prijavo tudi z variantami gesla. Hrošč se pojavi le v primeru, da uporabnik svojega gesla v zadnjih letih ni spremenil. Takrat se upošteva le prvih osem črk gesla, ostanek pa je lahko povsem naključen, pa bo Amazon še vedno pustil prijavo. Hrošč tudi pokvari razlikovanje med velikimi in malimi črkami, tako da je prijava mogoča s poljubno kombinacijo. Testi na Heise so pokazali, da so ranljiva gesla, ki so bila starejša od enega leta, čeprav nekateri problema niso mogli ponoviti niti s starejšimi gesli. Rešitev je zelo enostavna: ob zamenjavi gesla, četudi ga zamenjate z istim, hrošč izgine.

Slashdot - Še en hrošč se je pojavil ob izteku leta 2009. V Avstraliji, kjer so novo leto pozdravili med prvimi, je prišlo v do izpada terminalov Bank of Queensland za brezgotovinsko plačevanje. Iz za zdaj neznanih razlogov so ti datum zapisovali kot 1. januar 2016, zaradi česar so bile praktično vse kartice označene kot pretečene. Trgovci so seveda hudo jezni, saj so na ta način izgubili več sto tisoč dolarjev, ker stranke v denarnicah niso imele dovolj gotovine, tako da nakupa pač niso opravile. V Bank of Queensland so potrdili, da je napaka prizadela celotno državo, in dodali, da bodo napako odpravili v najkrajšem možnem času.

Naslednji v vrsti tistih, ki so preskok slabo sprejeli, pa je Windows Mobile. Uporabniki telefonov, ki uporabljajo ta operacijski sistem, dobivajo sporočila iz leta 2016. Zanimivo je, da napaka ni prizadela vseh operaterjev, ampak le nekatere. Primitiven popravek je že zunaj.

ElHacker.net - Spletna stran ElHacker.net je objavila poročilo o hrošču, s pomočjo katerega lahko napadalec enostavno pridobi dostop do vsakega GMail računa.

Hrošč je bil odkrit 14. oktobra letos, štiri dni kasneje pa že popravljen. Ker je hrošč omogočal dostop do kateregakoli GMail računa, so pri ElHackerju z objavo počakali dokler napaka ni bila popolnoma odpravljena.

Na spletni strani se nahaja podroben opis zlorabe, za katero je napadalec potreboval le spletni brskalnik (npr. Internet Explorer). Za razliko od zlorabe, ki je bila odkrita lansko leto, pa pri tej ni potrebna kraja piškotka, zato je hrošč še bolj nevaren.

Pri ElHacker.net so mnenja, da je hrošč posledica napake v zasnovi GMaila. Če to drži, se v GMailu morda skriva še več napak in verjetno je le vprašanje časa, kdaj bodo odkrite.

Pustimo se presenetiti.

MSNBC - Odkrili so nov hrošč v Microsoftovem brkljalniku Internet Explorerju, ki omogoča hekerjem, da lahko preberejo e-pošto in datoteke na prizadetem računalniku.
Hrošč se lahko samo aktivira, če uporabnik pri surfanju na Internet Explorerju 5 naloži spletno stran, ki vsebuje posebno zlonamerno kodo. Prav tako mora uporabnik uporabljati Microsoft Exchange 2000 server, da se hrošč pojavi.
Rizik hrošča je ocenjen kot visok, vendar pa lahko rizik omilimo, če onesposobimo Active Scripting v brkljalniku.