PHP - Minuli četrtek je izšel nujni varnostni popravek 5.3.10 za priljubljeni skriptni jezik PHP. Kot se je izkaže, so razvijalci med reševanjem precej manjšega varnostnega problema v predprejšnji različici (10.1. letos) nehote odprli vrata za mnogo resnejšo napako, ki omogoča celo oddaljeno izvršitev napadalčeve kode.

Izvorna napaka v PHP <= 5.3.8 je zadevala funkcijo za sprejem parametrov HTTP zahtevka (v stilu iskalnik.php?q=slo-tech&orderby=date). Posamezni parametri so se najprej primerjali po njihovi zgoščeni vrednosti (hash) in kot vemo, ima lahko več različnih nizov isti hash, vendar je sorazmerno težko najti še en niz z že določenim hashem. Napad, za katerega obstaja tudi proof-of-concept exploit (PoC), je zoper php strežnik poslal gručo zahtevkov z več tisoč parametri, od katerih so mnogi imeli isto zgoščeno vrednost. To je na določenih strežnikih lahko povzročilo preobremenitev sistema in s tem DOS (denial of service) napad.

Popravek 5.3.9 je preprosto dodal novo php.ini...

CrunchGear - CrunchGear prek gamrFeeda poroča o Forbesovemu članku, kjer so razkrili, da na zaposlenega Valve ustvari večje zaslužke od Googla in Microsofta. To je izjavil večinski lastnik Valva, Gabe Newell, ki ima v lasti več kot polovico podjetja v zasebni lasti, po ocenah Forbesa vrednega med 2 in 4 miliajrdami dolarjev. Zaslužke na delavca je bilo ugotoviti v primeru Appla in Microsofta popolnoma enostavno, saj sta oba na borzi ter imata finančne podatke javne. To ne drži za Valve, a ima Newell seveda...

The Register - Pred kratkim sta se AOL in National Cyber Security Agency malce poglobila v zaščito računalnikov povprečnega Janeza pred ZloKodo™ in to namreč z anketo.

In rezultati? Katastrofalni. Pri skoraj vsakem anketirancu so na računalniku našli vsaj en kos ZleKode™ in kar je še huje, večina uporabnikov ni bila seznanjena niti z osnovami varnosti, kot so razlika med antivirusom in požarnim zidom. Sicer je večina uporabnikov imela nameščen proti-virusni program, toda le-ta je bil pogosto naložen že ob nalaganju operacijskega sistema in večinoma od takrat nikoli ni bil posodobljen. Eden izmed anketirancev je celo imel 92 različnih virusev na enem računalniku, drugi pa neverjetnih 1.059 spyware in adware programov.

Še več, dve tretjini uporabnikov nista imeli niti požarnega zidu, od tistih ki pa so ga imeli, pa jih je bilo 14 odstotkov napačno nastavljenih. Ne glede na vse, pa je skoraj tričetrt uporabnikov vseeno izjavilo, da misli da je njih računalnik dovolj oz. zelo varen.

National Cyber...

Vnunet - V javnost so priculjali podatki o že nekaj mesecev starem koščku zgnile slame v Mozilli (ter na njej temelječih derivatih -- Galeon, Netscape...): ta namreč spletni strani, ki jo obiskovalec zapušča, posreduje URI strani, na katero se preusmerja. Klik!

Kakor se to morda ne sliši nevem kako nevarno, pa gre pri tem 'le' za t.i. 'privacy bug'. Namreč, ne smemo pozabiti, kaj URI predstavlja v primeru, da uporabnik obišče neko zasebno stran, ali pa recimo v URI-ju posreduje razne podatke (aktivne strani, '?userID='). Popravek še ni na voljo.

Vnunet - ... lepo pošlji še zahtevani dokument, ki ga sam sicer nikakor ne bi smel dobiti. Pa saj sva kolega, kajneda?

Dotični zlobnež bo seveda imel kolega, če bo na drugi strani sedelo računalo z nameščenim Wordom (po možnosti 97 -- obseg Luknja™ še raziskujejo). Tega namreč heker zna s pravilno sestavljenim dokumentom, ki ga kolegu pošlje s prošnjo za revizijo (ter jo ta tudi odobri) prepričati, da poleg ključnega dokumenta priloži še kakšen drug dokument (ki ga heker zahteva). Microsoft slame še ni izdal -- ko jo bo, boste obveščeni. Klik!

Do takrat pa ne uporabljajte Worda. [:O]

Microsoft - Na isti dan, ko smo dočakali uraden izid prvega servisnega paketka za Windows XP, nam je Microsoft ponudil tudi sp1 za IE 6 za vsa okna od NT 4.0 dalje (razen 95). Gre za kumulativen skupek izboljšav... ter je označen kot 'critical update'. Ahem. Da, vsebuje tudi nemalo varnostnih popravkov [>:D]. Klik!

Vnunet - Strokovnjaki so odkrili napake v slamnati strešni kritini Microsoftove različice navideznega javanskega stroja. Ta omogoča vpad sršenov... Pardon. Omogoča pravilno sestavljenim spletnim stranem (Internet Explorer) ter e-mail sporočilom (Outlook [;(]) obvoz varnostnega mehanizma ter izvršitev poljubne ZleKode™ na uporabnikovem računalu. Klik!

Pri tem pravzaprav ne gre za eno samo napako, ampak za pravilno sistematično izkoriščanje večih programskih hroščev. Uporabniki Sun-ove verzije niste ogroženi, oni, ki pa uporabljamo različico našega ljubega MS-ja, pa še čakamo na popravek.

Kaj se je zgodilo s tridesetletno garacijo? [>:D]

The Register - Po še neodpravljeni težavici v IEju z obravnavanjem SSL certifikatov (ki se je pojavila tudi v Linuxaško-KDEjaškem ustrezniku Konqueror) ter zadnjim kumulativnem popravku za najbolj uporabljan spletni brskalnik, je Microsoftov (de?)BugDepartment napadla še ena grozota. Klik!

Ustrezno splojen html (tudi v emailih) zna namreč izkoristiti Lukenj™ v denarnici, pardon, ActiveX komponenti, kar lahko posledično sledi v pokvarjenem ali zbrisanim uporabniškim certifikatom. Odluknjaj!

ZDNet - Očitno bom primoran Primožu začet težit za izdelavo "pošlji novico o Luknju™" obrazca, ki bo sam sestavil novico iz podanih podatkov :]. No, tokrat je na tapeti zopet Internet Explorer oz. Outlook, težava pa tiči v cross-domain skriptiranju v HTML objektih na spletnih straneh ali v email sporočilih, preko katerega bi ZlaSila lahko brala uporabnikove piškotke, dokumente oz. celo izvršila ZloKodo™. Nič novega torej, popravek pa še ni na voljo. Klik!

Že velikokrat pa se je govorilo o problemu obveščanja javnosti o hroščih, za katere še ni zdravila. V nekem primeru je Microsoft zelo glasno javno napadel oz. celo prepovedal objavo tovrstnih informacij, saj s tem potencialno povečajo nevarnost izrabe varnostne luknje. Kaj o tem menite vi -- je prav, da se javnost obvešča, ali pa naj se raje počaka do trenutka, ko je na voljo popravek? Hvala.

ZDNet - Na ta prelep sončen dan, brez samega oblačka na čistem sinje modrem nebu, ni lepšega kot pisati o težavah v Microsoftovih operacijskih sistemih, tokrat bomo kazali kar na tri: NT 4, 2000 in XP.

Pri prvem kumulusu gre za klasičen buffer overflow (hmm, ima kdo kakšen primeren predlog za prevod te zveze? Sicer si bom jaz izmislil kakšen aforizem.) v sistemu za oddaljeni dostop (RAS). Da tovrstna napaka vdiralcem omogoči nadzor računalnika, mi verjetno ni potrebno več omenjati. Vsaj upam.

Naslednji stratus je očiten epilog dveh predhodnih napak, združen v eno: težava v MS SQL-ovem interpretiranju XML kode.

Tretji cirus pa je skoraj voda na mlin Microsoftovemu oddelku za marketing, saj se pojavi v predhodniku ASP-ja, HTR skriptiranju. Pa en prelep dan še naprej [:))].