»

Microsoftov najnovejši paket popravkov

OSNews - Microsoft je izdal svež seženj devetih popravkov. V njem je kar 6 kritičnih obližev, s katerimi so pokrpali luknje v MSXML komponenti (MS07-042), v OLE komponenti (MS07-043), v Excelu (MS07-044), v Internet Explorerju (različice 5, 6 in 7, MS07-045, MS07-050) in v GDI komponenti (MS07-046).

Preostali trije so označeni kot pomembni, dva popravita luknje v Windows Media Playerju (MS07-047) in v napravicah (gadgets na Windows Vista, MS07-048), ki omogočajo izvajanje kode, zadnji pa se tiče uporabnikov Virtual PC-ja (MS07-049) in odpravi luknjo, ki omogoča dvig privilegijev.

Windows Update. Just do it.

38 komentarjev

Varnostni popravek za Windows NT ter kumulativna popravka za IE ter Outlook Express

Microsoft - Microsoft je danes objavil tri nove (varnostne) popravke, ki se nahajajo na Windows Update.

17. marca je Microsoft objavil popravek za varnostno luknjo v IIS (Internet Information Services) 5.0 za Windows 2000, kjer je vzrok za luknjo bil modul WebDAV (World Wide Web Distributed Authoring and Versioning). Kasneje so opazili, da se enaka luknja nahaja tudi v Windows NT 4.0, vendar ta nima modula WebDAV -- zato popravek ni bil učinkovit za dotični OS. Nov popravek je že na voljo. Več informacij

Popravek za Internet Explorer vključuje vse dosedajšnje popravke za IE verzije 5.01, 5.5 ter 6.0 kakor tudi popravke za na novo odkrite luknje oziroma hrošče. Več informacij

Popravek za Outlook Express zakrpa luknjo v MHTML URL Handlerju, preko katerega bi se lahko datoteka na lokalnem disku renderirala kot HTML skripta in se s tem tudi pognala. MHTML (MIME (Multipurpose Internet Mail Extensions) Encapsulation of Aggregate HTML) je struktura za pošiljanje HTML vsebine v email sporočilih.

8 komentarjev

Lukenj™ pri Luknju™, pa monopol (v)zdrži!

The Register - Po še neodpravljeni težavici v IEju z obravnavanjem SSL certifikatov (ki se je pojavila tudi v Linuxaško-KDEjaškem ustrezniku Konqueror) ter zadnjim kumulativnem popravku za najbolj uporabljan spletni brskalnik, je Microsoftov (de?)BugDepartment napadla še ena grozota. Klik!

Ustrezno splojen html (tudi v emailih) zna namreč izkoristiti Lukenj™ v denarnici, pardon, ActiveX komponenti, kar lahko posledično sledi v pokvarjenem ali zbrisanim uporabniškim certifikatom. Odluknjaj!

0 komentarjev

Windows 2000 SP3 hecnosti

The Register - Zopet dokaj delikatna tema, ki bi bila v forumu najverjetneje celo brisana [>:D].

Po svoje sem že kar navajen, da na angleškem cajtengu The Register na čase objavljajo novice z navodili oz. 'zapiski', kako zaobiti določene varnostne zapore v raznovrstnem programju. Tokrat jim je zobe zaskelela EULA v SP3 za Lukenj 2000 -- pardon -- Windows 2000 (se ne bo ponovilo, obljubim!), ki Microsoftu daje pravice do vohljanja po uporabnikovem računalu za namene kritičnih popravkov, varnostnih nadgradenj ipd. Tako pa se je na spletu znašel programček Enabler, ki najverjetneje onemogočenim gumbkom to lastnost spreminja. Klik!

Da se razumemo, uporaba tako nameščenega popravka je nelegalna, prav tako pa bi bilo nezakonito MSjevo vohljanje po vašem računalu. Le, da oni tega verjetno ne bi vedeli...

1 komentar

IE in Outlook Lukenj™

ZDNet - Očitno bom primoran Primožu začet težit za izdelavo "pošlji novico o Luknju™" obrazca, ki bo sam sestavil novico iz podanih podatkov :]. No, tokrat je na tapeti zopet Internet Explorer oz. Outlook, težava pa tiči v cross-domain skriptiranju v HTML objektih na spletnih straneh ali v email sporočilih, preko katerega bi ZlaSila lahko brala uporabnikove piškotke, dokumente oz. celo izvršila ZloKodo™. Nič novega torej, popravek pa še ni na voljo. Klik!

Že velikokrat pa se je govorilo o problemu obveščanja javnosti o hroščih, za katere še ni zdravila. V nekem primeru je Microsoft zelo glasno javno napadel oz. celo prepovedal objavo tovrstnih informacij, saj s tem potencialno povečajo nevarnost izrabe varnostne luknje. Kaj o tem menite vi -- je prav, da se javnost obvešča, ali pa naj se raje počaka do trenutka, ko je na voljo popravek? Hvala.

19 komentarjev

Lukenj pri luknju

ZDNet - Na ta prelep sončen dan, brez samega oblačka na čistem sinje modrem nebu, ni lepšega kot pisati o težavah v Microsoftovih operacijskih sistemih, tokrat bomo kazali kar na tri: NT 4, 2000 in XP.

Pri prvem kumulusu gre za klasičen buffer overflow (hmm, ima kdo kakšen primeren predlog za prevod te zveze? Sicer si bom jaz izmislil kakšen aforizem.) v sistemu za oddaljeni dostop (RAS). Da tovrstna napaka vdiralcem omogoči nadzor računalnika, mi verjetno ni potrebno več omenjati. Vsaj upam.

Naslednji stratus je očiten epilog dveh predhodnih napak, združen v eno: težava v MS SQL-ovem interpretiranju XML kode.

Tretji cirus pa je skoraj voda na mlin Microsoftovemu oddelku za marketing, saj se pojavi v predhodniku ASP-ja, HTR skriptiranju. Pa en prelep dan še naprej [:))].

4 komentarji

Lažna Microsoftova stran

CNN - Microsoft je postal žrtev potegavščine, ko se je preko interneta in e-maila razširila novica o "How to" inštrukcijah na "njihovih" straneh.
Spletna stran z naslovom "HOWTO: Read the Fucking Manual" ima enako obliko kot Microsoftove informacijske strani; pri tem pa seveda malo drugačno vsebino...:) Pri podrobnejšem pregledu pa vidimo, da je stran iz druge domene.
Microsoft še raziskuje vire strani, ker lahko ljudje, ki dobijo ta link, napačno mislijo, da gre za dejanske strani od Microsofta. Ni pa še jasno, ali je avtor teh lažnih strani prekršil kakšna zakonska pravila.

Več o tem si lahko preberete na tej strani, ali pa pogledate v forum, kjer tudi teče debata o tej zadevci.

1 komentar

Nov scarabaeus v Outlooku in Outlook Express

ZDNet - Microsoft je včeraj obvestil javnost, da so odkrili še en scarabaeus (lat. hrošč) v Outlooku. Problem se je pojavil v vCardu, neke vrste elektronski posetnici, kjer vam lahko lahko kakšen hudoben škrat v obliki uporabnika računalnika pravilno skodira programcek, ga postavi v polje "Rojstni dan", ter vam pošlje v obliki priponke na vaš e-mail.
Ko odprete vCard z Outlookom 2000 ali 97, ali z Outlookom Express 5.01 ali 5.5, bo koda vsaj zrušila program Outlook, lahko pa bo tudi zagnala kakršenkoli program, kot je npr. kakšen trojanski konj.
vCard se ne more zagnati kar avtomatično; tako da samo odpiranje e-mail-a ne bo povzročilo ničesar. Edina nevarnost tako leži v zaganjanju vCarda kot priponke ali v premikanju vCard-a v mapo Stiki/Contacts.
Microsoft priporoča, da uporabniki Outlooka in Outlooka Express dol-povlečejo patch. Popravek bo tudi vključen v Service Pack-u 2 za Internet Explorer 5.01 in 5.5, ter v Windows 2000 SP2.

Več o tem pa tukajle....

0 komentarjev