Ars Technica - Drugi torek v mesecu je dan, ko Microsoft izda sveženj popravkov za svoje operacijske sisteme Windows ter ostale izdelke, npr. pisarniško programsko opremo Office. Popravni torek bo v letošnjem aprilu prišel 12. tega meseca, s seboj pa bo prinesel nov rekord v številu zakrpanih lukenj, saj jih bo s 17 popravki zakrpanih kar 64. To je kar 15 več zakrpanih lukenj, kot v dosedanjem rekordnem mesecu, lanskoletnemu oktobru, ko je 16 popravkov zakrpalo 49 varnostnih lukenj. Do sedaj je rekord v številu popravkov samih držal lanski december, s katerim se s 17 popravki letošnji april izenači, a je...

Slashdot - Z Nove Zelandije je pravkar prišla novica, da je Adam Boileau izdal orodje, ki zna brez uporabe gesla odkleniti računalnik z operacijskim sistemom Windows XP. Potrebujete računalo, ki poganja Linux, ter port Firewire, preko katerega povežete računalnika. Od tu naprej je delo lahko, saj mora program samo še onesposobiti določene varnostne algoritme pomnilnika, ter vam s tem omogočiti popoln dostop do operacijskega sistema "napadenega" računalnika.

Varnostna luknja, ki jo program izkorišča je znana že od leta 2006, vendar se Microsoftu verjetno ni zdela preveč pomembna. Pred njo se lahko zavarujete sami in sicer tako, da enostavno onemogočite port Firewire ali pa namestite drug operacijski sistem.

ZDNet - Sodeč po najnovejši raziskavi je povprečna življenska doba nezaščitenega računalnika povezanega na internet z operacijskim sistemom Windows 20 minut. Za primerjavo naj povem, da je pred enim letom ta doba trajala 40 minut. Glavni vzrok za tako drastično zmanjšanje časa je predvsem dejstvo, da po internetu kroži čedalje večje število črvov in virusov. 20 minut pomeni, da ima povprečen uporabnik 20 minut časa po "sveži namestitvi" operacijskega sistema Windows ter priklopom na internet, da naloži vse varnostne popravke iz Microsoftove strani, WindowsUpdate. Odstotek sistemov, ki se uspe posodobiti v 20 minutah je zelo malo, zato se s tem problemom sooča večina Windows uporabnikov, ki mora "hoditi čez minsko polje, da pride do zaklonišča". Obstaja par "trikov", kako se delno zaščititi: Izklop podpore Microsoftovemu omrežju med namestitvijo Oken (odkljukajte File and Printer Sharing for Microsoft Networks ter Client for Microsoft Networks) in/ali vklop požarnega zidu pred povezavo na...

Information Week - Microsoft ugotavlja, da lahko s posebnim programskim paketom zmanjša čas, ki poteče od izdaje varnostnih popravkov do njihove namestitve na računalnike po celem svetu. Windows Update Services, ki bo brezplačno na voljo za podjetja v drugi polovici letošnjega leta, bo nekakšna združitev tehnologij Windows Update za namizne računalnike in Systems Management Server za večja podjetja, znal pa bo namestiti tudi Microsoftove popravke za programsko opremo drugih ponudnikov. Klik!

Slashdot - O varnostni luknji v Internet Explorerju, ki omogoča prikazovanje lažnega naslova spletnih strani, smo poročali najmanj dvakrat in vsaj tolikokrat tudi o napetem čakanju na Microsoftov popravek zanjo. Zdaj je nenadoma postalo jasno, zakaj je bilo čakanje vztrajnih uporabnikov tega brskalnika tako dolgo. Microsoft je namreč ubral novo strategijo odpravljanja varnostnih lukenj. Na svoji spletni podstrani, namenjeni tehnični podpori, je objavil članek, v katerem je opisan postopek, kako se otresti primeža hude varnostne luknje. Če se vam ne da brati, vam lahko odgovor zaupamo tudi v skrčeni obliki: ne uporabljajte hiperpovezav, ampak naslove vpisujte naposredno v vrstico z naslovom.

Pripravlja Microsoft revolucionaren programski jezik za spletne strani, ki ne bo več temeljil na hiperpovezavah?

Microsoft - Microsoft je ravnokar objavil popravek za IE 5.01, 5.5, 6.0 ter 6.0 za Windows 2003. Popravek vsebuje funkcionalnost vseh do sedaj izdanih popravkov, vključuje pa še popravek za 2 novi varnostni luknji, ki bi napadalcu lahko omogočili poganjanje kode po lastni izbiri na žrtvinem računalniku. Vsi, ki še uporabljate IE veselo oddeskajte na Windows Update ali pa si omislite Mozillo.

email.si - Slovenski portal z brezplačno POP in IMAP pošto je po približno tedenskih počitnicah spet nazaj. Dostop prek spleta je bil ves ta čas onemogočen, prek poštnih protokolov POP3 in IMAP4 pa naj bi bilo pošiljanje možno, pa vendar tudi to ni vedno delovalo. Lastniki so namreč stran preuredili, če vam je všeč pa sami preudarite. Popravili so tudi varnostno luknjo, ki je dopuščala uporabnikom, da so lahko naslov pošiljatelja ponaredili.

Tech Seekers - Na spletnih straneh so se pojavila opozorila, da po internetu kroži virus, pod pretvezo, da je Microsoftov popravek za operacijski sistem Windows. Zamašil naj bi varnostne luknje v programih Internet Explorer, Outlook ter Outlook Express, kot tudi pet novih varnostnih lukenj v samih Oknih. Poleg obvestila o popravku boste zraven dobili še navodila za namestitev popravka ter Microsoftovo zahvalo, da uporabljate njihove izdelke. Več si preberite na tem naslovu.

Microsoft - Microsoft je objavil novico o novi varnostni luknji, ki se nahaja v Microsoftovemu Skriptnem Stroju™, ki operacijskemu sistemu omogoča izvajanje skriptne kode napisane v raznih jezikih, kot sta na primer Visual Basic Script in JScript. Napadalec lahko izvede poljubno kodo z uporabnikovimi privilegiji, če uporabnik obišče primerno ustvarjeno spletno stran. Taka stran je lahko gostovana na web strežniku ali celo direktno poslana nič hudega slutečemu uporabniku po elektronski pošti.

Luknja se nahaja v vseh Microsoftovih operacijskih sistemih od vključno Windows 98 naprej.

Popravek se že nahaja na Windows Update. Več informacij.

Newsfactor - Nemalokrat se med komentarji novic ter na forumu odvijajo bitke o pravilnosti objavljanja varnostnih težav še preden so te zakrpane.

Lahko bi rekel, da je hitrost odprave obratnosorazmerna z velikostjo podjetja: za primer naj ponudim Microsoft, ki ob tem birokraciji daje nov pomen, ter programje odprte kode, kjer so Luknji™ ponavadi zakrpani še pred objavo. O slednjem bi se sicer dalo razpravljat -- sama medijska odmevnost lukenj v programih 'velikih' je namreč bistveno večja od onih, ki se pojavljajo na raznih h4x0r buglistah. Kakorkoli že, na NewsFactor sem zasledil zanimiv članek, ki na kratko ovrednoti različne pristope k problematiki ter poda nekaj mnenj. Vsekakor priporočljivo branje.

Slo-Tech - Tako, če se še spomnite, nas je Gandalfar pred kratkim zasvojil s svojo temo, v kateri poskuša pod pretvezo, da nas uči šteti do 10.000, skrivaj razsuti Primoževe skripte. No, danes se nam je pri tem štetju uspelo prebiti, verjeli ali ne, natanko do polovice. Še samo 5.000 sporočil je pred nami. Če imate preveč časa, brž nabijat, tokrat je to dovoljeno.

Drugo, malce resnejšo prelomnico pa je dosegla naša nadmočna, ultimativna Loža™. Danes smo v njo zapisali 60.000 oddani post ter se tako napotili proti naslednji meji, 70.000. V kolikor ste že utrujeni od vseh računalniško-tehniških debat, klik!

Linux Weekly News - Pred kratkim so na operacijskem sistemu Linux odkrili varnostno luknjo v knjižici zlib, ki naredi ta operacijski sistem ranljiv na razne napade. To seveda ni nič kritičnega, saj programerji, ki delajo na projektih odprte kode izdajajo popravke dnevno, tako da se za varnost ni treba preveč bati. Bolj problematičen utegne biti položaj za Microsoft, saj se je ugotovilo, da je knjižice zlib "posvojil" tudi redmondski velikan, ki je njeno kodo vključil v nekatere svoje izdelke. Tako naj bi isto varnostno luknjo kot so jo odkrili na Linuxu imeli Micorosoftovi programi Internet Explorer, DirectX, Messenger, Front Page, zbirka programov Office, Windows XP in še nekateri drugi programi. Da smo si na jasnem, koda zliba ni pod okriljem licence GNU, zato jo je lahko Microsoft uporabil brez kršenja zakona. Seveda pa je malce čudno, da si Microsoft sposoja kodo pri Open Source projektih in nato govori, kako so ti projekti škodljivi za razvoj programske opreme. In sposojanje kode iz zliba niti...

The-Ctrl-Alt-Del - Pojavil se je novi črviček z imenom Gigger (JS.Gigger.A@mm). Črviček veselo briše datoteke in formatira disk in se razmnožuje s pomočjo programov Microsoft Outlook ter mIRC. Razširjenost še ni velika, toda pri podjetju Symantec opozarjajo na veliko nevarnost.

Poskuša vas pretentati in se zakamuflira v MS-jev Security Update. Toda MS nikoli ne pošilja popravkov po elektronski pošti ampak ga lahko vedno potegnete z neta skozi vaš brskalnik.

Podjetja ki skrbijo za zaščito, že množično pripravljajo popravke, ki so po večini že navoljo (vsaj pri Symantec-u že od 9. januarja).

Več o črvu: securityresponse.symantec.com

The Register - Microsoft je podjetje, ki ne ustvarja samo programskih paketov, ampak tudi malce čudne komentarje. Če smo nekateri pogojno še prenesli Balmerjevo tuljenje, kakšna rakasta rana je Linux, je najbolj svež Microsoftov komentar popolna bedarija. In kako izgleda ta komentar? Kot gotovo že veste, obstajajo na internetu razna zbirališča, kjer ljudje razpravljajo o varnostnih luknjah v M$-jevih programih ali operacijskih sistemih. Problem nastane, ker se na teh zbirališčih ne zadržujejo samo uporabniki, ki hočejo izvedeti, katere luknje je treba zakrpati, ampak tudi taki modeli, ki hočejo izvedeti, katere luknje se lahko najbolje izkoristi za razne exploite, podtikanje trojancev, črvov ali še česa hujšega. Po Microsoftovo, bi morali vsa taka zbirališča zapreti. In kje bodo potem razni uporabniki izvedeli, katere varnostne luknje zakrpati? Namesto, da Microsoft tuli čez ta zbirališča, naj raje že enkrat začnejo pisati programe/operacijske sisteme, ki ne bodo spominjali na (močno naluknjan)...

več strani - Samo en dan po enem odkritem hroščku, o katerem smo poročali že včeraj, so danes odkrili še eno varnostno luknjo v Microsoftovem spletnem brkljalniku Internet Explorerju.
Varnostna luknja obstaja v verzijah Internet Explorerja 5.01 in 5.5. Ker so HTML e-pošte pravzaprav spletne strani, jih lahko IE pretvori in odpira binarne priponke na takšen način, ki je primeren za določen MIME tip. Vendar pa obstaja luknja v načinu procesiranja, ki je značilen za nekatere nenavadne MIME tipe. Posledica tega je, da Internet Explorer potem avtomatično odpre HTML e-poštno priponko, ki lahko vsebuje kakšno zlonamerno programsko kodo.
Za tiste, ki ne vedo; MIME je Internet standard za kodiranje binarnih datotek kot e-poštnih priponk.
Več informacij si poglejte na Microsoftovem Security Bulletin tukaj. Microsoft je že razvil popravek, ki ga lahko dol-povlečete z njihove spletne strani, in sicer tukaj. Microsoft je tudi opozoril, da je priporočljivo, da uporabniki Internet Explorerja dol-povlečejo in...

Jaz - Boštjan me je opomnil, da že dolgo nisem objavil povezave na Microsoftovo rešitev težav, ki se pojavljajo pri uporabi 3D AGP grafike na VIA čipovju v Win2k okolju. Nekateri Win2kjaši so namreč pri poganjanju iger doživljali neprijetna presenečenja. Torej, če ste eden izmed takih, vam priporočam uporabo tega popravka, ter, seveda, najnovejše VIA 4in1 gonilnike!