markasblog

Adobe po raz kolejny ma problem z bezpieczeństwem swoich produktów. Tym razem problem, jak nie trudno się domyślić, dotyczy luki w w Flash Playerze. Producent potwierdził w tym tygodniu, że w ich produkcie istnieje poważny błąd związany z bezpieczeństwem i jest on wykorzystywany przez cyberprzestępców. Do ataków wykorzystywany jest plik Excel, w którym osadzony jest obiekt Flash. W chwili obecnej atak w takiej formie ma dość mały zasięg działania. Należy jednak pamiętać, że sposób ataku z wykorzystaniem powszechnie zaufanych plików Excel może dość szybko stać się potężną bronią w rękach hakerów. W efekcie skutecznie przeprowadzonego ataku, cyberprzestępca może przejąć kontrolę nad systemem. Do tej pory Adobe nie otrzymało informacji o podatności na atak programu Adobe Reader oraz Adobe Creator.

Producent programu zapowiada wydanie poprawek dla Flasha, Adobe Readera oraz Adobe Creatora w przyszłym tygodniu. Wydana aktualizacja bezpieczeństwa uszczelni kod, który umożliwia zamieszczanie obiektów Flash w dokumentach PDF.

Aktualizacji nie zostanie natomiast poddany Reader X. Twórcy programu twierdzą, że mechanizm sandbox wbudowany w najnowszą przeglądarkę plików PDF skutecznie niweluje ryzyko ataku przeprowadzonego z użyciem luki w platformie Flash. Dodatkowym argumentem za pominięciem Readera X w cyklu aktualizacji jest możliwość opóźnienia prac nad wydaniem poprawek dla programów Flash oraz Adobe Reader.

Pwn2Own, jeden z największych na świecie konkursów przygotowanych dla hakerów rusza już w przyszłym tygodniu. Tymczasem Mozilla idąc w ślady Google, wydała poprawki bezpieczeństwa dla przeglądarki Firefox. Firefox w wersji 3.5.17 oraz 3.6.14 pozbawiony został 11 błędów oznaczonych jako krytyczne oraz jednego oznaczonego jako ważny oraz jednego oznaczonego jako umiarkowany. Należy zwrócić uwagę, że jest to pierwsza od dłuższego czasu aktualizacja Firefoksa. Ostatnia miała miejsce w grudniu 2010. Jednym z powodów, dla którego wydanie aktualizacji było opóźnione, była konieczność zbadania błędu występującego we wcześniejszej wersji przeglądarki, który doprowadzał w pewnych sytuacjach do awarii programu.

Poprawki wydane we wtorek wyeliminowały między innymi 3 usterki w obsłudze JavaScript, 2 błędy w silniku przeglądarki, jeden błąd w obsłudze plików JPEG (pisałem również o tym przy okazji klienta Thunderbird 3.1.8), oraz poważny błąd CSRF, który mógł być wykorzystany do przeprowadzenia ataku z wykorzystaniem odpowiednio spreparowanych plików Flash.

Google aktualizacje do przeglądarki Chrome wydał w poniedziałek. W przeglądarce oznaczonej numerem 9.0.597.107 wyeliminowano 16 luk bezpieczeństwa oznaczonych jako ważne oraz 3 oznaczone jako średnie. W nomenklaturze wprowadzonej przez Google jako krytyczne określa się luki w zabezpieczeniach, które umożliwiają wykonanie kodu poza mechanizmem sandbox. Błędy wyeliminowane w poniedziałek dotyczyły przede wszystkim mechanizmu WebGL, API dla sprzętowej akceleracji grafiki 3D, SVG renderingu i animacji oraz błędów związanych z paskiem adresu przeglądarki.

Ciekawe jak w tym roku wypadną przeglądarki internetowe w konkursie. Rok temu przed atakiem hakerów uchroniła się jedynie przeglądarka ze stajni Google. Safari, IE8 oraz Firefox uległy, chociaż w tym miejscu należy podkreślić, że IE od Microsoftu postawiło najmniejszy opór.

Konkursy takie jak Pwn2Own przede wszystkim pomagają  twórcą przeglądarek w tworzeniu bezpieczniejszego oprogramowania. Nam, jako użytkownikom końcowym zwracają uwagę na niedociągnięcia jakie w przeglądarkach są codziennością. Wydaje się, że i w tym roku Internet Explorer po raz kolejny wypadnie blado w stosunku do konkurencji, a  Google po raz kolejny udowodni, że mechanizm sandbox zaimplementowany w ich produkcie jest ciężki, a może nawet niemożliwy do przejścia.

Edit:

Firefoksa w wersji 3.5.17 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Firefoksa w wersji 3.6.14 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Chrome można pobrać z oficjalnych serwerów Google odpowiednio dla systemów Windows, Linux, Mac OS X.

W dniu wczorajszym Mozilla poinformowała o wydaniu Thunderbirda 3.1.8, jednego z najpopularniejszych na świecie darmowych klientów pocztowych. W nowej wersji poprawiono bezpieczeństwo oraz stabilność programu.

Jeden z wyeliminowanych błędów dotyczył obsługi plików JPEG i był oznaczony jako krytyczny. Mógł on zostać wykorzystany w celu wstrzyknięcia na komputer ofiary złośliwego kodu za pośrednictwem odpowiednio spreparowanego pliku JPEG. Inny krytyczny błąd dotyczył obsługi pamięci nie tylko w kliencie poczty, ale również innych produktów Mozilli. Programiści Mozilli informowali, że przy odrobinie wysiłku również ten błąd mógł umożliwić zainfekowanie komputera ofiary. Usunięto również błąd w obsłudze klasy ParanoidFragmentSink oznaczony jako średnio ważny.

Równocześnie z gałęzią 3.1 trwają pracę nad gałęzią 3.3 klienta pocztowego Thunderbird. W chwili obecnej dostępna jest druga już wersja alfa nowej odsłony programu, którą również można pobrać z serwerów Mozilli.

Wersję 3.1.8 Thunderbirda, którą osobiście polecam wszystkim użytkownikom można pobrać tutaj. Najnowszą wersję alfa gałęzi 3.3 można pobrać tutaj, jednak należy pamiętać, że wersje rozwojowe programu mogą zachowywać się niestabilnie i użytkowanie ich może wiązać się z ryzykiem utraty ważnych danych.

W najbliższym czasie można spodziewać się wydania trzeciej wersji alfa Thunderbirda 3.3. Według informacji zamieszczonych na Wiki Mozilli w pierwszym tygodniu marca ma nastąpić zamrożenie kodu programu, a chwilę później udostępnienie tej wersji do testów użytkownikom końcowym.

W dniu wczorajszym światło dzienne ujrzało już 14. wydanie popularnej platformy blogowej WordPress. WordPress 3.1 nosi nazwę „Reinhardt” na cześć gitarzysty jazzowego Django Reinhardta. W dniu dzisiejszym pojawiła się polskojęzyczna wersja platformy. Można ją pobrać z polskiej strony projektu, lub skorzystać z automatycznych aktualizacji dostępnych z poziomu panelu administracyjnego.

W nowej wersji na pierwszy rzut oka zauważyć można pojawienie się nowego tematu kolorystycznego w panelu administracyjnym.

Usprawniono również dodawanie odnośników do istniejących już wpisów i stron. Żadne wtyczki ułatwiające tą operacje już nie będą potrzebne.

Pojawił się Admin Bar, który wyświetla na górze okna pasek zawierający najważniejsze funkcje bloga. Kolejna dobra informacja dla mnie, ponieważ do tej pory taką funkcjonalność zapewniała mi wtyczka.

Pojawiło się również kilka usprawnień w dodawaniu nowych wpisów, polegających na ukryciu wielu opcji tak, aby nowi i mniej doświadczeni użytkownicy nie zniechęcali się do platformy w wyniku mnogości opcji i funkcji (ukryte opcje można przywrócić za pośrednictwem „Opcji ekranu” znajdujących sie w górnym, prawym rogu ekranu).

Zalecam przetestować najnowszą wersję WordPressa w nieproduktywnym środowisku, ponieważ ja sam natknąłem się na problem z wtyczką New User Approve, która po zainstalowaniu wywołała krytyczny błąd na serwerze i dopiero jej usunięcie pozwoliło na stabilną pracę platformy.

Po więcej informacji zapraszam na stronę wordpress.org

Wczoraj Adobe wydał poprawki dla 29 luk w zabezpieczeniach dla programu Adobe Reader oraz 13 poprawek dla programu Flash w ramach kwartalnego łatania swoich produktów.

Prawie wszystkie błędy załatane w programie Adobe były oznaczone jako krytyczne, co oznaczało, że była możliwa zdalna instalacja złośliwego oprogramowania na niezałatanym systemie. Dwa z błędów pozwalały na przeprowadzenie ataku XSS (cross-site scripting). Jeden błąd dotyczył tylko i wyłącznie systemu Windows. Prawie połowa błędów dotyczyła kodu parsowania czcionki, zdjęć i grafiki 3D.

Zaktualizowane wersje programu Adobe Reader to 8.2.6, 9.4.2 oraz 10.0.1 dla systemów Windows oraz Mac OS X. Niestety użytkownicy systemów z rodziny Linux muszą poczekać do 28 lutego na wydanie wersji dla ich systemów.

Należy pamiętać o tym, że Adobe Reader X jest wyposażony w mechanizm sandbox, który skutecznie izoluje wszelkie zagrożenia będące efektem luk w zabezpieczeniach programu od systemu, na którym program pracuje. Adobe podkreśla, że żadna z 26 luk dotyczących Reader X nie umożliwia obejścia zabezpieczeń sandbox.

Flash dzięki aktualizacji zyskał numer 10.2.152.26. W wersji tej wyeliminowano 13 luk w zabezpieczeniach oznaczonych jako krytyczne, co oznacza, że każda z nich umożliwiała zdalne wykonanie złośliwego kodu. 8 luk mogło powodować uszkodzenie pamięci, a pozostałe były związane z ładowanymi bibliotekami, przekroczeniem zakresu liczb całkowitych oraz błędem parsowania czcionki.

Równocześnie z produktami Adobe Reader i Adobe Flash zaktualizowano platformę ColdFusion oraz odtwarzacz Shockwave. Dla wielu taka grupowa aktualizacja okazała się dużym zaskoczeniem, ponieważ w historii Adobe jest to sytuacja wyjątkowa. Rzecznik korporacji wyjaśnił, że Adobe stara się, aby wtorek stał się dniem aktualizacji dla wszystkich produktów. Póki co jednak nie gwarantuje, że tak już będzie zawsze.

Zaktualizowane produkty Adobe można pobrać tutaj.

Na serwerach Mozilli pojawiła się kolejna wersja beta przeglądarki Mozilli – Firefoksa 4.0. W dziesiątej już wersji testowej przeglądarki wyeliminowano kolejne błędy związane z bezpieczeństwem oraz stabilnością. Pełną listę wyeliminowanych błędów można znaleźć tutaj. Mozilla doszła do wniosku, że przy tak dużej ilości poprawek wniesionych do programu należy całość przetestować po raz kolejny jak najdokładniej. Wniesione poprawki dotyczyły praktycznie każdego obszaru działania przeglądarki, poczynając od mechanizmu synchronizacji, poprzez obsługę grafiki a kończąc na menadżerze dodatków.

Wszystko wskazuje na to, że seria wersji beta sztandarowej przeglądarki Mozilli na numerze 10 nie kończy się. Na Wiki Mozilli pojawiły się wpisy o planach wydania jeszcze jednej bety. Widać, że Mozilla przykłada bardzo dużo uwagi do najnowszego Firefoksa. Wersje beta już wydają się być bardzo stabilnym oprogramowaniem nie sprawiającym żadnych przykrych niespodzianek. Miejmy nadzieję, że wersja finalna przeglądarki będzie godnym konkurentem dla Chrome, Internet Explorera i innych.

Póki co, najnowszą betę Firefoksa można pobrać z serwerów Mozilli.

Edit:

Zaktualizowałem link do serwera, z którego można pobrać najnowszą betę Firefoksa. Wcześniejszy link prowadził do wersji nightly.

Na wtorek Oracle zapowiada wydanie aż 66 łat bezpieczeństwa dla swoich produktów. Wiele z nich ma wyeliminować luki w zabezpieczeniach oceniane jako najbardziej niebezpieczne według skali Common Vulnerability Scoring System. Dla przykładu sześć z łat, ma poprawić bezpieczeństwo we flagowym produkcie Oracle – bazie danych. Dwie luki pozwalają na zdalne wykonanie kodu bez użycia nazwy użytkownika i hasła.

Szesnaście łat bezpieczeństwa jest przeznaczonych dla oprogramowania pośredniczącego (z ang. middleware), z czego aż 12 luk umożliwia zdalne wykonanie kodu z pominięciem procesu autoryzacji.

Inne poprawki są przeznaczone między innymi dla Oracle’s Enterprise Manager, PeopleSoft, JD Edwards, Glassfish i OpenOffice.

Oracle również na luty zapowiada wydanie poprawek dla Javy w wersji biznesowej oraz SE.

W tym tygodniu Microsoft opublikował bezpłatną platformę IIS zoptymalizowaną z myślą o deweloperach. Wersja oznaczona jako IIS Express 7.5 ma wbudowany upgrade bazy danych oraz została wyposażona w narzędzie zarządzania zawartością wydaną na licencji open source.

IIS Express 7.5 umożliwia pracę zarówno z ASP.Net Web Forms, jak i ASP.Net MVC. Cała paczka waży niespełna 5MB i nie wymaga konta administratora do uruchomienia lub debugowania aplikacji z Visual Studio. Produkt oferuje pełen zestaw funkcji serwera Web, w tym SSL, URL Rewrite i inne moduły znane z gałęzi 7.x.

IIS Express 7.5 może być zainstalowany obok pełnej wersji serwera IIS oraz ASP.NetServer Development i działa na systemach operacyjnych poczynając od Windowsa XP, a kończąc na Windows 7.

W tym tygodniu Microsoft udostępnił użytkownikom również ASP.Net MVC 3 oraz narzędzie deweloperskie WebMatrix. To nie koniec. Ten tydzień przyniósł również kolejną edycję wbudowanego silnika bazodanowego oznaczonego jako SQL Server Compact Edition 4, którą Microsoft udostępnia za darmo. SQL Server Comapct Edition 4 jest w pełni kompatybilne z API .Net i obsługuje kompatybilną z SQL Server składnie zapytań.

Również w tym tygodniu ujrzał światło dzienne Microsoft Orchard 1.0. który umożliwia zarządzanie systemem blogów oraz zarządzaniem treścią na stronach internetowych bez konieczności znania kogu.

Jak widać Microsoft prężnie działa nie tylko na gruncie systemów operacyjnych, ale chce również dorzuca coś od siebie w dziedzinie technologii internetowych. I dobrze. Konkurencja na każdej płaszczyźnie jest wskazana.

Tradycyjnie już, w każdy drugi wtorek miesiąca Microsoft publikuje biuletyny zabezpieczeń. Tym razem gigant z Redmond wydał 11 poprawek, z których 5 oznaczono jako krytyczne, kolejne 5 zyskało status ważnych, a 11 określono jako średnio ważną. Poniżej krótki opis każdego z biuletynów.

MS10-019 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Authenticode Verification, pozwalającej na zdalne wykonanie kodu

MS10-020 (krytyczny) – dotyczy luki w zabezpieczeniach w kliencie SMB, pozwalającej na zdalne wykonanie kodu

MS10-025 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Services uruchomionym na systemie Microsoft Windows 2000 Server, pozwalającej na zdalne wykonanie kodu

MS10-026 (krytyczny) – dotyczy luki w zabezpieczeniach w kodekach audio dostarczanych przez Microsoft (Microsoft MPEG Layer-3), pozwalającej na zdalne wykonanie kodu

MS10-027 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Player, pozwalającej na zdalne wykonanie kodu

MS10-021 (ważny) – dotyczy luki w zabezpieczeniach w jądrze systemu Microsoft Windows pozwalającej na podniesienie uprawnień za pośrednictwem odpowiednio przygotowanego kodu

MS10-022 (ważny) – dotyczy luki w zabezpieczeniach w VBScript w systemie Microsoft Windows, pozwalającej na zdalne wykonanie kodu

MS10-023 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Publisher, pozwalającej na zdalne wykonanie kodu

MS10-024 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Exchange i Windows SMTP Service, pozwalającej na przeprowadzenie ataku DoS

MS10-028 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Visio, pozwalającej na zdalne wykonanie kodu

MS10-029 (średni ważny) – dotyczy luki w zabezpieczeniach w pakiecie ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) pozwalającej na spoofing.

Pozostaje nam zaktualizować nasze Windowsy i czekać cierpliwie na kolejne biuletyny, które zostaną wydane 11 maja.

Minął rok od poprzedniego konkursu Pwn2Own. Wczoraj w ramach akcji Zero Day Initiative, specjaliści ds. bezpieczeństwa oraz hakerzy stanęli w szranki, aby pokazać jak dobrzy są, a i przy okazji udowodnić, że przeglądarki, z których korzystamy wcale takie bezpieczne za jakie je uważają ich producenci nie są. Wyjątkiem tutaj jest Opera, która nie wystawiła swojego produktu do konkursu oraz Chrome, do którego w pierwszy dzień konkursu nawet nikt nie podszedł. Okazuje się bowiem, że produkt Google jest najtrudniejszą do złamania przeglądarką wśród tych najpopularniejszych. Konkurs jeszcze się nie skończył. Przed nami jeszcze dwa dni konkursu i może się okazać, że po zmianie platformy i Chrome polegnie.

W skrócie plan tegorocznego konkursu:

Dzień 1.

Hakerzy mieli okazję zmierzyć się z następującymi zestawieniami produktów:

• Microsoft Internet Explorer 8 on Windows 7
• Mozilla Firefox 3 on Windows 7
• Google Chrome 4 on Windows 7
• Apple Safari 4 on MacOS X Snow Leopard

Złamano zabezpieczenia wszystkich przeglądarek za wyjątkiem Google Chrome.

Dzień 2.

• Microsoft Internet Explorer 7 on Windows Vista
• Mozilla Firefox 3 on Windows Vista
• Google Chrome 4 on Windows Vista
• Apple Safari 4 on MacOS X Snow Leopard

Dzień 3.

• Microsoft Internet Explorer 7 on Windows XP
• Mozilla Firefox 3 on Windows XP
• Google Chrome 4 on Windows XP
• Apple Safari 4 on MacOS X Snow Leopard

Jednocześnie n a próbę wystawione są platformy mobilne. W tym roku hakerzy mają do dyspozycji:

• Apple iPhone 3GS
• RIM Blackberry Bold 9700
• Nokia E72 device running Symbian
• HTC Nexus One running Android

Jako pierwszy poległ w tej grupie iPhone, który został złamany z wykorzystaniem luki w mobilnej wersji przeglądarki Safari. Atakującemu udało się skopiować wszystkie wiadomości tekstowe z urządzenia.

Pula nagród przewidziana na ten rok to 40 000 $ dla osób zajmujących się platformami stacjonarnymi oraz 60 000 $ dla osób próbujących złamać zabezpieczenia platform mobilnych. Dodatkowo każdy z uczestników otrzyma sprzęt, na którym pracował podczas przeprowadzenia ataku.

Tego typu konkursy pokazują jak bardzo w błąd nas wprowadzają producenci przeglądarek internetowych. Bezpieczeństwo to mrzonka. Na tle większości jedynie Chrome wydaje się być ciekawą alternatywą. Mechanizm sandbox najwyraźniej sprawia bardzo dużo problemów hakerom. Jest to kolejny mur na drodze do przejęcia kontroli nad atakowanym środowiskiem. Hakerzy przyznają, że w Chrome są luki, które można by łatwo wykorzystać, gdyby właśnie nie sandbox.

O Operze po tych zawodach prawdy się nie dowiemy. Producent nie wystawia swojego produktu do konkursu. Zastanawiam się czemu. Czy to postępowanie jest związane z obawami przed możliwością obalenia mitu o bezpieczeństwie i stabilności oprogramowania spod znaku Opera Software? Boi się konkurencji? Ma obawy przed negatywną reklamą, której ofiarą może paść szybciej niż Internet Explorer? Szczerze powiem, że nie widzę jakiegoś sensownego wytłumaczenia tej sytuacji. Polityka opery dla mnie jest nie jasna. Pewnie dlatego nigdy nie zagości u mnie jako default browser.