markasblog

Dwa dni temu Microsoft opublikował kwietniowe biuletyny zabezpieczeń dla swoich produktów. Tym razem mamy sześć biuletynów, z czego 4 zostały oznaczone jako krytyczne, a 2 jako ważne. Poniżej zamieszczam krótki opis każdej z poprawek.

MS12-023 (krytyczny) – dotyczy zbiorczej aktualizacji przeglądarki Internet Explorer eliminującej 5 luk w zabezpieczeniach, z których każda umożliwiała zdalne wykonanie kodu

MS12-024 (krytyczny) – dotyczy luki w zabezpieczeniach systemu Windows pozwalającej na zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku wykonywalnego

MS12-025 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework pozwalającej na zdalne wykonanie kodu  z wykorzystaniem odpowiednio spreparowanej strony internetowej uruchomionej w przeglądarce obsługującej aplikacje XAML

MS12-027 (krytyczny) – dotyczy luki w zabezpieczeniach formatów standardowych systemu Windows umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanej strony internetowej

MS12-026 (ważny) – dotyczy luki w zabezpieczeniach programu Forefront Inified Access Gateway (UAG) umożliwiającej ujawnienie informacji z wykorzystaniem specjalnie spreparowanej kwerendy wysłanej do serwera UAG

MS12-028 (ważny) – dotyczy luki w zabezpieczeniach pakietu Microsoft Office umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku pakietu Works.

Kwiecień przyniósł nam aktualizacje o wysokim priorytecie instalacji. Aż cztery z sześciu wydanych biuletynów eliminują podatności systemu na zdalne wykonanie kodu.

Microsoft opublikował informację o przesunięciu systemu Windows Vista oraz Office 2007 z głównego systemu wsparcia do systemu rozszerzonego. Office 2007 już w dniu dzisiejszym został odłączony od podstawowego wsparcia, a Vista opuści ten kanał jutro. Oznacza to ni mniej ni więcej, że poczynając od 10 kwietnia, Microsoft będzie publikował tylko i wyłącznie łaty bezpieczeństwa dla wszystkich użytkowników, a aktualizacje poprawiające stabilność będą dostępne dla organów, które mają podpisane odpowiednie umowy z firmą Microsoft.

Należy pamiętać, że kilka tygodni temu Microsoft podjął decyzję o skróceniu okresu wparcia technicznego w jego rozszerzonej wersji dla systemów konsumenckich (niekorporacyjnych) do 5 lat. Ma to przyspieszyć zainteresowanie klientów niekorporacyjnych nowymi systemami wydawanymi przez Microsoft. Tylko wersje biznesowe oprogramowania będą wspierane jak dotychczas, czyli przez 10 lat. Zgodnie z nowymi założeniami aktualizacje zabezpieczeń dla wspomnianego oprogramowania będą dostarczane do połowy kwietnia 2017 roku.

Ostatnia duża aktualizacja dla Windows Vista i Office 2007 miała miejsce odpowiednio w maju 2009 (Service Pack 2) oraz w październiku 2011 (Service Pack 3).

Czas wsparcia technicznego dla kolejnych edycji systemów, niezależnie od pochodzenia kiedyś musi dobiec końca. Wydawcy oprogramowania, aby zaspokoić oczekiwania klientów, muszą iść naprzód, a wspieranie starych wersji oprogramowania jest czynnikiem hamującym rozwój. Każdy z użytkowników, bez względu czy korzysta z produktu biznesowego, czy takiego kierowanego do użytkownika domowego prędzej czy później stanie przez decyzją o zmianie środowiska pracy na nowsze (oczywiście nie zawsze lepsze). O ile użytkownik prywatny nie ponosi zbyt wiele kosztów związanych ze zmianą systemu operacyjnego, czy pakietu biurowego, o tyle klient korporacyjny zawsze będzie ponosił wysokie koszty finansowe zmian związanych po pierwsze z zakupem często nowego sprzętu, który pozwoli na uruchomienie nowego środowiska, ale przede wszystkim z kosztami poniesionymi na szkolenie pracowników. Z drugiej strony firmy, które nie mają w zwyczaju inwestować w kapitał ludzki, prędzej czy później zrozumieją, że czas zmienić te zwyczaje.

W czwartek Google opublikowało aktualizację swojej przeglądarki, w której wyeliminowano przede wszystkim 12 luk w zabezpieczeniach. 7 z poprawionych błędów otrzymało priorytet wysoki , 4  otrzymały priorytet średni a 1 – niski.

Część z luk odkryli badacze nie związani bezpośrednio z Google i w zamian za pracę włożoną w Google Chrome otrzymali premie finansowe. W ogólnym bilansie, Google w tym roku wypłaciło 216 tyś. dolarów premii za znalezienie błędów w swojej przeglądarce, a znaczna część tej puli została wypłacona podczas marcowego konkursu hakerów Pwn2Own.

Poza aktualizacjami związanymi z bezpieczeństwem Chrome, dodano również do wersji oznaczonej numerem 18 nową wersję Adobe Flash Player, w której wyeliminowano dwa błędy krytyczne umożliwiające uszkodzenie pamięci z wykorzystaniem interfejsu Chrome.

Poprawiono również kilka problemów związanych z akceleracją sprzętową dodaną do przeglądarki pod koniec marca tego roku.

Minął dzień od doniesień na temat luki w Javie umożliwiającej rozprzestrzenianie się konia trojańskiego o nazwie Flashback.K, a Apple opublikował na swoich serwerach łatę bezpieczeństwa eliminującą nie tylko ten problem, ale również kilka innych zagrożeń.

Aktualizacje, które są dostępne dla Mac OS X 10.6.8 Snow Leopard oraz dla Mac OS X 10.7.3 Lion (włączając w to również edycje serwerowe) nie tylko eliminują możliwość instalowania konia trojańskiego bez potrzeby podania hasła administratora, ale również podatności na uruchomienie destrukcyjnego kodu z ominięciem mechanizmu sandbox Javy za pośrednictwem odpowiednio spreparowanej strony internetowej.

Dla przypomnienia, załatana wersja Javy, która eliminowała te problemy została opublikowana w lutym dla systemów Windows, ale za względu na odrębny harmonogram publikacji poprawek dla komputerów Mac (harmonogram wprowadzony przez Apple), użytkownicy tego systemu byli narażeni na ataki miesiąc dłużej.

W poniedziałek Google ogłosiło finalizację transakcji kupna firmy TxVia, która działa w sektorze technologii płatności. Ruch ten ma pomóc wzmocnić pozycję na rynku usługi Google Wallet, produktu, który działa w sektorze płatności online oraz rozwiązań sprzętowych dla płatności z wykorzystaniem telefonów komórkowych.

TxVia posiada certyfikat i jest bezpośrednio podłączona do głównych sieci płatności, a od 2008 roku wpiera obsługę ponad 100 milionów kont.

Google ma wielkie ambicje być w czołówce w każdej z dziedzin, w której działa. Niestety systemy płatności są już mocno opanowane przez takich potentatów jak PayPal oraz Sguare (popularny system działający w Stanach Zjednoczonych). Oba te systemy posiadają własne zaplecze techniczne wspierające obsługę płatności mobilnych. PayPal dla przykładu w tym roku uruchomił usługę PayPal Here umożliwiającą  obsługę różnych płatności włączając to czeki oraz karty kredytowe i debetowe.

W chwili obecnej Google Wallet działa na wybranych telefonach komórkowych działających w sieci Sprint. Inne popularne sieci w Stanach Zjednoczonych, takie jak AT&T Mobile, T-Mobile USA oraz Verizon Wireless w chwili obecnej budują platformę mobilną na zasadzie spółki joint venture.

Google, aby zaistnieć musi wkupić się w rynek. Dzięki przejęciu TxVia uzyska dostęp do sporej grupy klientów oraz do dużych sieci płatności. Sam prezes oraz dyrektor generalny TxVia liczy na wiele profitów wynikających ze ścisłej współpracy z gigantem z Mountan View. Nie oszukujmy się jednak, Google więcej zarobi na tej inwestycji.

Płatności online oraz płatności mobilne to rynek, który rozwija się w wielkim tempie. Niestety już teraz jest kilku operatorów, którzy swoimi usługami zdobyli klientów i nie będzie ich łatwo przekonać do zmiany. Z drugiej strony z miesiąca na miesiąc zapotrzebowanie na usługi rośnie w dużym tempie i zawsze znajdzie się ktoś, kto wybierze Google Wallet. Czy Google zrewolucjonizuje rynek ze swoją usługą? Długa droga przed Google, ale też ogromny budżet przewidziany na rozwój czeka na inwestycje.

Badacze bezpieczeństwa z firmy F-Secure opublikowali informację o podatności na zarażenie systemów operacyjnych Mac OS koniem trojańskim Flashback, dzięki luce w zabezpieczeniach Javy. Nowa wersja złośliwego oprogramowania oznaczona jako Flashback.K nie wymaga już interakcji z użytkownikiem i wykorzystuje lukę w Javie, która w lutym została załatana dla wersji oprogramowania przeznaczonej dla systemu Windows. Niestety Apple dystrybuuje newe wersje Javy zgodnie z własnym harmonogramem i często bywa tak, że poprawki bezpieczeństwa dla systemów Mac OS są publikowane nawet z kilkutygodniowym opóźnieniem w stosunku do systemów z rodziny Windows.

Flashback.K po zainstalowaniu na komputerze ofiary monituje o podanie hasła administratora. Jeżeli hasło nie zostanie podane, to malware i tak infekuje system biorąc sobie na cel proces Safari, aby po jego opanowaniu, móc podmieniać wybrane strony internetowe na te, związane bezpośrednio z działaniem cyberprzestępców.

Super bezpieczne systemy operacyjne nie istnieją. Niestety w tym konkretnym przypadku nic nie tłumaczy dziwnej polityki Apple, która z premedytacją opóźnia wdrażanie poprawek oprogramowania firm zewnętrznych. W tym przypadku mówimy o Javie, która w sumie wciąż stanowi spory udział w rynku internetowym i spora część internetu Javą stoi.

Od wersji 10.7 systemu Mac OS X, Java nie jest domyślnie instalowana w systemie, ale to i tak na dłuższą metę nic nie daje. Nie jest to najlepszy sposób na uniknięcie niebezpieczeństw związanych z użytkowaniem tej technologii, tym bardziej, że przy pierwszym wejściu na stronę, która wykorzystuję Javę, użytkownik zostanie poproszony o pobranie i zainstalowanie tego oprogramowania. Ilu jest na tyle świadomych użytkowników systemu Mac OS X, którzy albo wcale nie zainstalują odpowiednich wtyczek, albo po opuszczeniu strony z Javą, odinstalują potencjalnie niebezpieczne oprogramowanie?

Wczoraj na łamach Wall Street Journal pojawiła się informacja o rzekomych planach Google, które zakładają otwarcie przez giganta z Mountain View sklepu internetowego, w którym będą sprzedawane tablety z zainstalowanym systemem Android, a część ze sprzedawanych urządzeń ma być markowana również przez Google. Według anonimowych źródeł, ten ruch ma zwiększyć udział Androida w rynku tabletów. Tablety mają być produkowane między innymi przez Samsung Electronics, ASUSTeK Computer oraz Asusa.

Droga Google nie będzie w tej materii łatwa. Dużą część rynku przywłaszczył sobie Apple. Stało się tak przede wszystkim dlatego, że oprócz sprzedaży internetowej, Apple ma sieć sklepów stacjonarnych, w których przed zakupem produkt można dokładnie obejrzeć.

Krok w stronę sprzedaży tabletów z Androidem ma przede wszystkim na celu ugryzienie kolejnego kawałka tortu na rynku urządzeń mobilnych. O ile na telefonach system spod znaku Google zadomowił się na dobre, o tyle na rynku tabletów jest jeszcze wiele do zrobienia.

Szczegóły nie są znane, tym bardziej, że nikt z Google nie potwierdza tych rewelacji.

Adobe w dniu dzisiejszym opublikował najnowszą wersję Flash Playera oznaczoną numerem 11.2. Nowa wersja to między innymi większe bezpieczeństwo, ponieważ wyeliminowane zostały dwie luki w zabezpieczeniach z których każda umożliwiała uszkodzenie pamięci, a w efekcie wykonanie zdalnie dowolnego kodu. W rankingu Adobe obie luki klasyfikowały się na drugi poziom ważności w 3-stopniowej skali zagrożenia. Problem dotyczy Adobe Flash Playera 11.1.102.63 i wersji wcześniejszych dla systemów Windows, Macintosh, Linux i Solaris oraz wersji 11.1.111.7 i wcześniejszych dla systemu Android 3.x i 2.x.

Najnowsza wersja wprowadza również nową funkcję cichych aktualizacji. Opcja ta staje się dostępna po zainstalowaniu najnowszej wersji oprogramowania i odpowiednim skonfigurowaniu opcji. Nowa wersja dopuszcza trzy sposoby aktualizacji:

• automatyczna aktualizacja w tle bez żadnej interakcji z użytkownikiem
• powiadomienie o dostępnych aktualizacjach bez ich instalacji
• nie sprawdzanie dostępności aktualizacji

Mechanizm cichej aktualizacji będzie co godzinę, aż do skutku (do momentu pojawienia się odpowiedzi ze strony serwera Adobe) próbował połączyć się z serwerem w celu sprawdzenia dostępności aktualizacji. Jeżeli aktualizacje nie są dostępne kolejna próba aktualizacji nastąpi po 24 godzinach.

Wraz z głównym programem, aktualizowane będą również wtyczki zainstalowane w przeglądarkach internetowych. Wyjątkiem tutaj będzie Internet Explorer 6, którego wsparcie jest już masowo porzucane przez producentów oprogramowania. Od wersji 11.2 Flash Player zgodnie z informacją przekazaną przez Peleusa Uhleya będącego strategiem bezpieczeństwa w firmie Adobe, IE6 nie będzie już wspierane.

Adobe zaznacza, że pomimo zgody na ciche aktualizacje, nie wszystkie pakiety będą instalowane bez wiedzy użytkownika. Te aktualizacje, które będą zmieniać ustawienia domyślne odtwarzacza Flash, będą wymagały zgody użytkownika.

W tym momencie ciche aktualizacje działają tylko na systemie Windows, ale Adobe zapowiada szybkie wydanie wersji dla pozostałych obsługiwanych systemów.

Peleus Uhley zaznacza, że nowa funkcja to bardzo duży krok naprzód w walce z cyberprzestępcami, ponieważ można za pomocą cichych aktualizacji dużo szybciej łatać wykryte w produkcie luki zero-day.  To również większy komfort dla samych użytkowników, którzy nie będą już musieli pamiętać o aktualizacji Flasha.

Adobe ostatnimi czasy bardzo mocno popracował nad bezpieczeństwem Flash Playera. Częstsze, zgodnie z harmonogramem przeprowadzane aktualizacje, przejrzysta skala według której klasyfikowane są zagrożenia a teraz automatyczne ciche aktualizacje pokazują, że wszędzie kryje się potencjał, który dobrze wykorzystany może okazać się bardzo cennym wkładem w wizerunek nie tylko samego produktu, ale całej firmy.

Mozilla w piątek ogłosiła, że 12 wersja przeglądarki Firefox nie będzie wpierana przez systemy operacyjne Windows XP RTM (Release to Manufacturing), Windows XP SP1 oraz Windows 2000. Minimalnymi wymaganiami dla Firefoksa 13 będzie Windows Xp SP2.

Ograniczenie obsługiwanych systemów ze stajni Microsoftu ma za zadanie znacznie polepszyć wydajność flagowego produktu Mozilli. Sama decyzja nie powinna być dla nikogo zaskoczeniem, ponieważ rozmowy na temat porzycenia wsparcia dla starczych systemów Windows ciągnęły się już od 3 lat.

Koniecznieczność wsparcia starszych systemów wymuszała na programistach Mozilli nieużywanie nowych funkcji kompilatora co poskutkowało opóźnieniem we wprowadzaniu rewolucyjnych funkcji. Przykładem może być opóźnienie wprowadzenia protokołu SPDY. Mozilla wzywa użytkowników do aktualizacji swoich systemów przynajmniej do wersji Windows XP SP3.

Asa Dotzler na blogu namawia użytkowników systemu Windows 2000, którzy nie mogą zaktualizować swoich systemów do nowszych wersji, do spojrzenia w stronę konkurencyjnych przeglądarek.

Jeśli jesteś użytkownikiem systemu Windows 2000 i po prostu nie możesz zaktualizować swojego komputera do nowocześniejszych wersji systemu Windows, na pewno dobrzy ludzie z Opery chętnie Co pomogą”

Opera faktycznie działa poprawnie na Windows 2000, ale jej producenci również zalecają Windowsa XP lub nowszego. Google Chrome w tym momencie nie jest już alternatywą w tej sytuacji, ponieważ dolna granica również kończy się na systemie Windows XP SP2.

Również w piątek Mozilla powtórzyła informację o zakończeniu wsparcia dla Firefoksa z gałęzi 3.6, a co za tym idzie wersja 3.6.28 wydana 13 marca jest już ostatnią. Deweloperzy mają czas jedynie do 24 kwietnia na zgłaszanie poprawek związanych tylko i wyłącznie z bezpieczeństwem i stabilnością przeglądarki z gałęzi 3.6. Po tym czasie Firefox 3.6 nie będzie już w żadnym stopniu wspierany, a jedynym wyjściem jest jego uaktualnienie do najnowszej wersji, lub zainstalowanie wersji ESR (o przedłużonym czasie wsparcia), która jest wspierana przez kolejne 54 tygodnie. Pierwsze wydanie ESR bazuje na Firefoksie 10.

Badacze bezpieczeństwa z firmy MajorSecurity odkryli w Mobile Safari podatność na ataki typu spoofing. Problem dotyczy wersji systemu 5.0, 5.0.1 oraz 5.1 i jest związany ze sposobem obsługiwania funkcji winodow.open w języku JavaScript. Opracowano koncepcję wykorzystania istniejącej luki, która polega na otwarciu nowego okna lub nowej zakładki po kliknięciu na specjalnie spreparowany link. Nowe okno wygląda jakby ładowała się strona Apple.com, ale w rzeczywistości ładowana jest forma iframe w obrębie strony MajorSecurity. Jest to jedynie koncepcja i dowód na to, że taki atak może przydarzyć się w rzeczywistości, a w jego efekcie hakerzy mogliby przechwycić AppleID użytkownika, a w skrajnych sytuacjach odczytać dane z karty kredytowej podczas robienia zakupów w sklepie Apple.

Naukowcy z MajorSecurity zalecają jak najszybszą aktualizację systemów zaraz po tym jak pokaże się stosowana łata, a do czasu ukazania się jej, zalecane jest unikanie wszelkich podejrzanych miejsc w sieci, ponieważ nie ma na chwilę obecną nie ma 100% metody uniknięcia niebezpieczeństwa związanego z tą podatnością.