Opublikowano 17 lipca 2009 o godz. 17:05 w kategorii Bezpieczeństwo, Przeglądarki bez komentarzy
Tagi Bezpieczeństwo, Firefox, JavaScript, JS, luka, Przeglądarki
Firma Secunia poinformowała, że wykryto krytyczną lukę w przeglądarce Mozilla Firefox 3.5. Krytyczna luka oznacza, że jest możliwa zewnętrzna ingerencja w system operacyjny poprzez zdalne wykonanie złośliwego kodu na komputerze ofiary.
Błąd dotyczy sposobu, w jaki Firefox przetwarza kod JavaScript, dla przykładu można podać znacznik font, i pozwala na nadpisanie pamięci. Pomyślna eksploatacja usterki pozwala na zdalne wykonanie kodu. Aby jednak narazić użytkownika na niebezpieczeństwo, ofiara uprzednio musi odwiedzić niebezpieczną stronę.
Luka dotyczy Firefoksa 3.5. Z Internetu można pobrać exploit wykorzystujący usterkę.
Opublikowano 11 czerwca 2009 o godz. 13:09 w kategorii Bezpieczeństwo bez komentarzy
Tagi bezpiczeństwo, biuletyn, biuletyn zabezpieczeń, luka, luki, Microsoft, update
Microsoft wydał aż dziesięć biuletynów bezpieczeństwa, zawierających aktualizacje swojego oprogramowania. Łączna liczba błędów aplikacji, usuwana przez najnowsze patche, jest najwyższą w sześcioletniej historii comiesięcznego cyklu aktualizacji.
W dziesięciu biuletynach znalazło się łącznie 31 łatek w systemie operacyjnym Windows, przeglądarce Internet Explorer, aplikacjach pakietu biurowego Excel i Word oraz wyszukiwarce Windows Search. 18 z nich miało status błędów krytycznych, 11 – ważnych, a 2 – umiarkowanych.
Jest to największa liczba błędów usuwanych jednorazowo od sierpnia 2006 r., kiedy udostępnił biuletyny zawierające łącznie 26 aktualizacji.
Wśród najnowszych biuletynów na uwagę zasługuje m.in. MS09-019, który usuwa osiem odrębnych luk w przeglądarce Microsoftu (jedna z nich została wykorzystana w marcowym konkursie PWN2OWN do włamania się do komputera).
Oprócz tego poszczególne biuletyny odnoszą się m.in. do luk w kernelu Windows (MS09-025) i zbiorze usług internetowych ISS (MS09-020) – w obu wypadkach grożących podniesieniem uprawnień – oraz błędów w usłudze Active Directory (MS09-018), które cyberprzestępca mógłby wykorzystać do zdalnego uruchomienia niebezpiecznego kodu na atakowanej maszynie.
Aktualizacje można pobrać i zainstalować za pośrednictwem usług Microsoft Update, Windows Update i Windows Server Update Services.
Opublikowano 30 maja 2009 o godz. 23:54 w kategorii Audio-wideo, Bezpieczeństwo bez komentarzy
Tagi bezpiczeństwo, Bezpieczeństwo, DirectShow, DirectX, luka, luki, Microsoft, Microsoft Security Advisor, QuickTime, QuickTime Movie Parser Filter
Microsoft poinformował o wykryciu krytycznej luki w DirectX. Błąd umożliwia hakerowi zdalne wykonanie dowolnego kodu, jeżeli użytkownik otworzy specjalnie spreparowany plik QuickTime.
Lukę można wykorzystać w następujących systemach operacyjnych: Windows 2000, Windows XP oraz Windows 2003. Użytkowników Visty i Windows Server 2008 luka nie dotyczy. Problem, zgodnie z Microsoft Security Advisory leży w QuickTime Movie Parser Filter, który DirectShow wykorzystuje do przetwarzania plików w tym formacie. Atak można przeprowadzić za pomocą spreparowanej strony internetowej otwartej w dowolnej przeglądarce. Na komputerze ofiary nie musi być niestety zainstalowane oprogramowanie QuickTime.
Opublikowano 29 maja 2009 o godz. 19:53 w kategorii Linux bez komentarzy
Tagi błędy, Fedora, KDE, Linux, luka, Release Schedule, RPM, Update Depot
Miłośnicy Fedory muszę się uzbroić w cierpliwość. Kolejna wersja dystrybucji wyjdzie dopiero 9 czerwca, a pierwotna data wydania upłynęła 26 maja. Niespełna 2 tygodnie temu przez sporą liczbę błędów termin został przesunięty na 2 czerwca. Z dokumentu z planami wydawniczymi (Release Schedule) w wiki projektu widać, że zarówno alfa, beta i finalna nie ukazały się zgodnie z planem – jedynie Preview Release było zgodne z planem.
Przyczynę opóźnienia do 9 czerwca autorzy Fedory podają błąd w kodzie partycjonowania programu instalacyjnego Anaconda – ten kod został w znacznym stopniu napisany od nowa dla potrzeb Fedory 11.
W głównym repozytorium Update Depot dla systemów x86-64 znajduje się już 1464 paczek RPM, a w magazynie Depot Updates-Testing – 679 pakietów, w tym między innymi KDE 4.2.3 i XFCE 4.6.1.
Opublikowano 27 maja 2009 o godz. 16:20 w kategorii Bezpieczeństwo, Internet bez komentarzy
Tagi Bezpieczeństwo, luka, PCNFSD, PCNFSD Dissector, protokoły, Wireshark
Wydano wersję 1.0.8 analizatora sieciowego Wireshark. Wyeliminowano błąd związany z przetwarzaniem protokołu PCNFSD.Za pomocą spreparowanych pakietów, haker mógł doprowadzić do zawieszenia pracy modułu PCNFSD Dissector. Usterka została sklasyfikowana jako zagrażającą bezpieczeństwu. Serwer PCNSF jest między innymi jednym z komponentów pakietu Microsoft Windows Services for UNIX.
Instalacja najnowszej edycji oprogramowania usuwa błąd. Nowe wydanie naprawia luki znalezione w implementacji Lua oraz modułach SCCP Dissector i NDMP Dissector. W określonych sytuacjach również one powodowały wieszanie się programu, ale nie zostały sklasyfikowane jako usterki bezpieczeństwa. Naprawiono także błędy ujawniające się podczas analizy protokołów ASN.1, DICOM, RTCP, SSL i STANAG.