»

Odkrit hrošč, ki je omogočal napad na GMail

ElHacker.net - Spletna stran ElHacker.net je objavila poročilo o hrošču, s pomočjo katerega lahko napadalec enostavno pridobi dostop do vsakega GMail računa.

Hrošč je bil odkrit 14. oktobra letos, štiri dni kasneje pa že popravljen. Ker je hrošč omogočal dostop do kateregakoli GMail računa, so pri ElHackerju z objavo počakali dokler napaka ni bila popolnoma odpravljena.

Na spletni strani se nahaja podroben opis zlorabe, za katero je napadalec potreboval le spletni brskalnik (npr. Internet Explorer). Za razliko od zlorabe, ki je bila odkrita lansko leto, pa pri tej ni potrebna kraja piškotka, zato je hrošč še bolj nevaren.

Pri ElHacker.net so mnenja, da je hrošč posledica napake v zasnovi GMaila. Če to drži, se v GMailu morda skriva še več napak in verjetno je le vprašanje časa, kdaj bodo odkrite.

Pustimo se presenetiti.

14 komentarjev

New Orleans - samo Windows uporabniki lahko zahtevajo denarno pomoč

Ars Technica - FEMA (Zvezna agencija za upravljanje v katastrofah) je onemogočila Mac in Linux uporabnikom, da bi zaprosili za denarno pomoč. Agencija je postavila internetni center, ki deluje samo z Internet explorerjem 6. Do sedaj je uspelo iz tabora ne-Windows uporabnikov samo Mac uporabnikom, ki so imeli nameščeno Opero (ki se lahko identificira kot IE6), da se lahko povežejo na center. Uporabniki drugih brskalnikov sicer lahko brskajo po strani, ampak ko se hočejo prijavit jih pričaka sledeče sporočilo:
In order to use this site, you must have JavaScript Enabled and Internet Explorer version 6.

Ars Technica poroča, da so delavci agencije FEMA obupani nad tem, da so vezani na Windows sisteme za potrebe njihovega servisa. Porabit morajo namreč precej denarja, namenjenega za pomoč, za nakup Windows licenc, da lahko pomagajo več tisoč žrtvam da vložijo zahtevo za pomoč.

Pritožujejo se, da traja celo večnost, da usposobijo in pokrpajo Windows delovne postaje preko windows update, medtem ko bi...

44 komentarjev

Microsoft oživlja nadaljnji razvoj Internet Explorerja

Slashdot - Po tem ko je Microsoft prišel do zaključka, da je Internet Explorer 6 SP1 najboljši internetni brskalnik pod soncem in da nadaljnji razvoj, razen za nove opreracijske sisteme, ni potreben, so sedaj ugotovili, da to le ni tako.

Kot piše Dave Massy, (nekanji) razvijalec IE-ja, v svojem blogu, se je ponovno vrnil k ekipi, zadolženi za razvoj Internet Explorerja. Na Microsoftovem razvijalskem forumu tudi krožijo pogovori, kaj lahko pričakujemo novega. Med drugim bi naj ugledali lističe (tabe), izboljšano podporo za stadarde W3C, download manager ter še nekaj bonbončkov, ki jih Internet Explorer potrebuje za pomladitev. Zaradi očitkov, da Microsoft ne upošteva zahtev svojih uporabnikov, so razvijalci postavili tudi Internet Explorer Wiki, v katerega bi naj uporabniki zapisovali želje ter javljali napake.

64 komentarjev

Internet Explorer se poslavlja

PC Linux Online - Microsoft je ugotovil, da Internet Explorer izkorišča vse možnosti, ki mu jih ponuja operacijski sistem, na katerem teče, kar pomeni, da je najboljši brskalnik v okolju Windows. Podjetje iz Redmonda je s pomočjo zgornje ugotovitve prišlo do zaključka, da bo Internet Explorer 6 SP1 zadnja različica, dosegljiva za prenos z Interneta, saj bodo nove različice na voljo le kot del operacijskega sistema.

Seveda je jasno, da Internet Explorer nikakor ni najboljši brskalnik, saj nima nobene napredne možnosti sodobnih brskalnikov, kot sta zavračanje pojavnih oken (pop-ups) ali brskanje z zavihki (tabs). Microsoft se je za potezo odločil samo zaradi želje po večji prodaji prihajajočega operacijskega sistema. Bomo videli, če jim bo uspelo. Klik!

39 komentarjev

Najneumnejši hrošč v IE

The inquirer -

To, da se v Internet Explorerju skriva takšna in drugačna golazen, je znano dejstvo. Večinoma gre za razne buffer overflow situacije in varnostne luknje, ki pa jih Microsoft kaj hitro pokrpa. Torkrat pa so na spletu odkrili hrošč, ki pravzaprav to ni, temveč je bolj kot ne zanimivost. Ena sama vrstica <input type crash> namreč povzroči, da se Internet Explorer sesuje. Prav tako se vam utegne sesuti tudi Outlook Express, če boste prebirali HTML pošto z dotično vrstico. Besedica crash pravzaprav niti ni odločujočega pomena, saj se celotna stvar ponovi tudi če vpišete karkoli drugega. Klik!

Dodatek: Nadobudni forumaši so zadevo odkrili že nekaj dni nazaj. ;)

16 komentarjev

Še ena varnostna luknja v Internet Explorerju...

več strani - Samo en dan po enem odkritem hroščku, o katerem smo poročali že včeraj, so danes odkrili še eno varnostno luknjo v Microsoftovem spletnem brkljalniku Internet Explorerju.
Varnostna luknja obstaja v verzijah Internet Explorerja 5.01 in 5.5. Ker so HTML e-pošte pravzaprav spletne strani, jih lahko IE pretvori in odpira binarne priponke na takšen način, ki je primeren za določen MIME tip. Vendar pa obstaja luknja v načinu procesiranja, ki je značilen za nekatere nenavadne MIME tipe. Posledica tega je, da Internet Explorer potem avtomatično odpre HTML e-poštno priponko, ki lahko vsebuje kakšno zlonamerno programsko kodo.
Za tiste, ki ne vedo; MIME je Internet standard za kodiranje binarnih datotek kot e-poštnih priponk.
Več informacij si poglejte na Microsoftovem Security Bulletin tukaj. Microsoft je že razvil popravek, ki ga lahko dol-povlečete z njihove spletne strani, in sicer tukaj. Microsoft je tudi opozoril, da je priporočljivo, da uporabniki Internet Explorerja dol-povlečejo in...

1 komentar

Nov IE hrošč

MSNBC - Odkrili so nov hrošč v Microsoftovem brkljalniku Internet Explorerju, ki omogoča hekerjem, da lahko preberejo e-pošto in datoteke na prizadetem računalniku.
Hrošč se lahko samo aktivira, če uporabnik pri surfanju na Internet Explorerju 5 naloži spletno stran, ki vsebuje posebno zlonamerno kodo. Prav tako mora uporabnik uporabljati Microsoft Exchange 2000 server, da se hrošč pojavi.
Rizik hrošča je ocenjen kot visok, vendar pa lahko rizik omilimo, če onesposobimo Active Scripting v brkljalniku.

7 komentarjev

Nov scarabaeus v Outlooku in Outlook Express

ZDNet - Microsoft je včeraj obvestil javnost, da so odkrili še en scarabaeus (lat. hrošč) v Outlooku. Problem se je pojavil v vCardu, neke vrste elektronski posetnici, kjer vam lahko lahko kakšen hudoben škrat v obliki uporabnika računalnika pravilno skodira programcek, ga postavi v polje "Rojstni dan", ter vam pošlje v obliki priponke na vaš e-mail.
Ko odprete vCard z Outlookom 2000 ali 97, ali z Outlookom Express 5.01 ali 5.5, bo koda vsaj zrušila program Outlook, lahko pa bo tudi zagnala kakršenkoli program, kot je npr. kakšen trojanski konj.
vCard se ne more zagnati kar avtomatično; tako da samo odpiranje e-mail-a ne bo povzročilo ničesar. Edina nevarnost tako leži v zaganjanju vCarda kot priponke ali v premikanju vCard-a v mapo Stiki/Contacts.
Microsoft priporoča, da uporabniki Outlooka in Outlooka Express dol-povlečejo patch. Popravek bo tudi vključen v Service Pack-u 2 za Internet Explorer 5.01 in 5.5, ter v Windows 2000 SP2.

Več o tem pa tukajle....

0 komentarjev