»

Microsoft zakrpal prastarega hrošča

ComputerWorld - Microsoft je včeraj izdal popravke za štiri ranljivosti v Windows in Office, med drugim tudi za hrošča, ki je poznan že debelih 22 mesecev. Popravek MS08-069 zakrpa tri ločene napake v XML Core Services, ki skrbi za sodelovanje med skriptnimi jeziki in XML-aplikacijami in med drugim skrbi tudi za izris vsebine XML v Internet Explorerju. Najbolj kritično ocenjena napaka je bila javnosti odkrita v začetku preteklega leta, a ni poznan noben primer zlorabe v tem obdobju poroča Computer World. Drugi popravek, MS08-068, je označen le kot pomemben in ne kritičen, bi utegnil imeti še daljšo brado, saj naj bi se podobne napake pojavljale in objavile že leta 2000. O izidu poroča tudi The Inquirer.

Na tem mestu omenimo še neposrečeno dejanje priljubljenega brezplačnega protivirusnega programa AVG, ki je označil sistemsko datoteko user32.dll kot škodljivo, njena odstranitev pa je povzročila kopico sivih las uporabnikom Windows XP. Napaka je bila omejena na nizozemsko, francosko, italijansko,...

6 komentarjev

Varnostna luknja v večini brskalnikov

Neowin - Pred nekaj dnevi je skupina Shmoo odkrila varnostno luknjo v večini spletnih brskalnikov, vendar na začudenje javnosti ne v Internet Explorerju. Tako so v nevarnosti vsi uporabniki, ki uporabljajo brskalnike, temelječe na motorju Gecko (Mozilla, Firefox, Camingo), Safari ali Opero. Luknja omogoča napadalcem prikriti katerokoli domeno. Vzrok za luknjo je podpora IDN (IDN med drugim omogoča nelatinske znake v URL-naslovu -- naprimer arabske), katero imajo vsi zgoraj našteti brskalniki, razen Internet Explorerja, za katerega pa obstaja vložek oziroma "plug-in", s katerim postanejo ogroženi tudi njegovi uporabniki.

Dokaz varnostne luknje.

Trenutno ni bilo uradno še nobenega odgovora s strani razvijalcev spletnih brskalnikov, je pa zelo verjetno, da bodo popravki izšli v roku enega tedna.

101 komentar

Varnostni popravek za Windows NT ter kumulativna popravka za IE ter Outlook Express

Microsoft - Microsoft je danes objavil tri nove (varnostne) popravke, ki se nahajajo na Windows Update.

17. marca je Microsoft objavil popravek za varnostno luknjo v IIS (Internet Information Services) 5.0 za Windows 2000, kjer je vzrok za luknjo bil modul WebDAV (World Wide Web Distributed Authoring and Versioning). Kasneje so opazili, da se enaka luknja nahaja tudi v Windows NT 4.0, vendar ta nima modula WebDAV -- zato popravek ni bil učinkovit za dotični OS. Nov popravek je že na voljo. Več informacij

Popravek za Internet Explorer vključuje vse dosedajšnje popravke za IE verzije 5.01, 5.5 ter 6.0 kakor tudi popravke za na novo odkrite luknje oziroma hrošče. Več informacij

Popravek za Outlook Express zakrpa luknjo v MHTML URL Handlerju, preko katerega bi se lahko datoteka na lokalnem disku renderirala kot HTML skripta in se s tem tudi pognala. MHTML (MIME (Multipurpose Internet Mail Extensions) Encapsulation of Aggregate HTML) je struktura za pošiljanje HTML vsebine v email sporočilih.

8 komentarjev

IE in Outlook Lukenj™

ZDNet - Očitno bom primoran Primožu začet težit za izdelavo "pošlji novico o Luknju™" obrazca, ki bo sam sestavil novico iz podanih podatkov :]. No, tokrat je na tapeti zopet Internet Explorer oz. Outlook, težava pa tiči v cross-domain skriptiranju v HTML objektih na spletnih straneh ali v email sporočilih, preko katerega bi ZlaSila lahko brala uporabnikove piškotke, dokumente oz. celo izvršila ZloKodo™. Nič novega torej, popravek pa še ni na voljo. Klik!

Že velikokrat pa se je govorilo o problemu obveščanja javnosti o hroščih, za katere še ni zdravila. V nekem primeru je Microsoft zelo glasno javno napadel oz. celo prepovedal objavo tovrstnih informacij, saj s tem potencialno povečajo nevarnost izrabe varnostne luknje. Kaj o tem menite vi -- je prav, da se javnost obvešča, ali pa naj se raje počaka do trenutka, ko je na voljo popravek? Hvala.

19 komentarjev

Nova luknja v IE

SMH - Današnji hrošč, drage dame in gospodje, je tudi pravi mali izvirnež, saj človeku z zlobnimi nameni ter znanjem računalništva omogoči, da uporabniku namesti praktično katerikoli program, vse kar mora uporabnik narediti je pa to, da klikne na stran starega protokola Gopher (obstajal pred HTTP in ni omogočal slikic ter ostale večpredstavne vsebine poleg ASCII arta [:D]), ki vsebuje določen skupek kode. Tako bi lahko zlonamernež dobil popoln nadzor nad našim mlinčkom brez da bi mi sploh posumili v karkoli. Microsoft za zdaj še nima popravka, navkljub dejstvu, da je bil hrošč prijavljen že pred tremi tedni, po besedah Microsofta pa še raziskujejo vzroke. Klik!

5 komentarjev

MS IE: here we go again

Slashdot - Microsoft se spet ni držal standardov in zagrešil hudo napako. Vedno, ko brskate po webu, lahko podležete napadu avtomatsko izvršljive kode, ki lahko stori v vašem sistemu _karkoli_ (ko mislite, da boste odprli pdf, v resnici poženete exe). Problem je, ker IE ne spoštuje standarda za določanje vsebine (z content type), ampak uporablja domačo mešanico (skupaj s končnico). Več lahko preberete na Salshdotu in tule. Če bo MS odpravil nevarnega hrošča, bo precej "IE only" strani nehalo pravilno delovati, zato noče niti priznati, da bug obstaja.

Veliko sreče pri surfanju! ;)

13 komentarjev

Microsoft izdal patch za "Web Client NTLM Authentication"

Electic Tech - Microsoft je te dni izdal patch oziroma popravek, ki odpravlja resno varnostno luknjo določene komponente, ki se uporablja v Ofiice 2000, Win2k in WinME produktih. Ta luknja v WEC (Web Extender Client) je pod določenimi pogoji omogočala pridobitev kriptografsko zaščitenih NTLM gesel drugih uporabnikov pri zahtevku Office dokumenta preko internet strežnika. Sicer je res, da bi wannabe hacker bolj težko to geslo tudi uporabil, saj ga je dobil zakodiranega, toda luknja je obstajala. Kakorkoli, v vrsto za svoj izvod popravka se lahko postavite tukaj.

0 komentarjev