markasblog

Wczoraj mieliśmy drugi wtorek miesiąca, więc posiadacze systemów operacyjnych ze stajni Microsoftu ujrzeli nowe biuletyny bezpieczeństwa. Tym razem wydano 7 biuletynów z czego jeden został oznaczony jako krytyczny, a pozostałe jako ważne. Dla przypomnienia, w zeszłym miesiącu Microsoft wydał 14 biuletynów bezpieczeństwa. Poniżej zamieszczam skrócony opis każdego ze styczniowych biuletynów.

MS12-004 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach formatu Windows Media, które umożliwiają wykonanie zdalnego kodu

MS12-001 (ważny) – dotyczy luki w zabezpieczeniach jądra systemu Windows, która umożliwia obejście funkcji zabezpieczeń

MS12-002 (ważny) – dotyczy luki w zabezpieczeniach programu Pakowarka obiektów systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-003 (ważny) – dotyczy luki w zabezpieczeniach Podsystemu wykonawczego serwera/klienta w systemie Windows, która umożliwia podniesienie uprawnień

MS12-005 (ważny) – dotyczy luki w zabezpieczeniach systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-006 (ważny) – dotyczy luki w zabezpieczeniach protokołu SSL/TLS, która umożliwia ujawnienie informacji

MS12-007 (ważny) – dotyczy luki w zabezpieczeniach biblioteki AntiXSS, która umożliwia ujawnienie informacji

Zachęcam do aktualizacji systemów.

26 maja (środa) pojawiła się kolejna aktualizacja platformy WordPress. Wersja 3.1.3 wprowadza kilka poprawek bezpieczeństwa. Między innymi poprawiono bezpieczeństwo przesyłania plików z komputerów o niskim poziomie zabezpieczeń oraz poprawiono bezpieczeństwo obsługi mediów. Dodatkowo pojawiła się funkcjonalność, która usuwa stare pliki importu WordPress, jeżeli taki import nie został zakończony pomyślnie. Wprowadzono także mechanizm ochrony przed atakiem typu clickjacking na stronie administratora oraz na stronie logowania. Niestety (dla niektórych) mechanizm ten działa tylko i wyłącznie w nowoczesnych przeglądarkach.

Pełną listę zmian można znaleźć tutaj.

Jednocześnie trwają pracę nad gałęzią 3.2 platformy WordPress. Jednocześnie z wersją 3.1.3 pojawiła się druga beta odłamu 3.2. Wydanie wersji RC planowane jest na początek czerwca, a wersja finalna planowana jest na koniec miesiąca. Najważniejszą ze zmian w wersji WordPress 3.2 Beta 2 w stosunku do pierwszej wersji beta jest zaimplementowanie obsługi biblioteki jQuery 1.6.1.

W dniu wczorajszym pojawiła się aktualizacja platformy blogowej WordPress. Wersja 3.1.1 niesie ze sobą zwiększone bezpieczeństwo w module odpowiedzialnym za upload mediów, zwiększoną odporność na awarie związane z przesyłaniem złożonych linków. Dodatkowo jest wyeliminowana podatność na ataki XSS w procesie aktualizacji bazy danych. Ponadto poprawiono 26 innych błędów, których listę można zobaczyć tutaj.

Zaleca się zaktualizowanie swoich platform najszybciej jak to będzie możliwe.

Pwn2Own, jeden z największych na świecie konkursów przygotowanych dla hakerów rusza już w przyszłym tygodniu. Tymczasem Mozilla idąc w ślady Google, wydała poprawki bezpieczeństwa dla przeglądarki Firefox. Firefox w wersji 3.5.17 oraz 3.6.14 pozbawiony został 11 błędów oznaczonych jako krytyczne oraz jednego oznaczonego jako ważny oraz jednego oznaczonego jako umiarkowany. Należy zwrócić uwagę, że jest to pierwsza od dłuższego czasu aktualizacja Firefoksa. Ostatnia miała miejsce w grudniu 2010. Jednym z powodów, dla którego wydanie aktualizacji było opóźnione, była konieczność zbadania błędu występującego we wcześniejszej wersji przeglądarki, który doprowadzał w pewnych sytuacjach do awarii programu.

Poprawki wydane we wtorek wyeliminowały między innymi 3 usterki w obsłudze JavaScript, 2 błędy w silniku przeglądarki, jeden błąd w obsłudze plików JPEG (pisałem również o tym przy okazji klienta Thunderbird 3.1.8), oraz poważny błąd CSRF, który mógł być wykorzystany do przeprowadzenia ataku z wykorzystaniem odpowiednio spreparowanych plików Flash.

Google aktualizacje do przeglądarki Chrome wydał w poniedziałek. W przeglądarce oznaczonej numerem 9.0.597.107 wyeliminowano 16 luk bezpieczeństwa oznaczonych jako ważne oraz 3 oznaczone jako średnie. W nomenklaturze wprowadzonej przez Google jako krytyczne określa się luki w zabezpieczeniach, które umożliwiają wykonanie kodu poza mechanizmem sandbox. Błędy wyeliminowane w poniedziałek dotyczyły przede wszystkim mechanizmu WebGL, API dla sprzętowej akceleracji grafiki 3D, SVG renderingu i animacji oraz błędów związanych z paskiem adresu przeglądarki.

Ciekawe jak w tym roku wypadną przeglądarki internetowe w konkursie. Rok temu przed atakiem hakerów uchroniła się jedynie przeglądarka ze stajni Google. Safari, IE8 oraz Firefox uległy, chociaż w tym miejscu należy podkreślić, że IE od Microsoftu postawiło najmniejszy opór.

Konkursy takie jak Pwn2Own przede wszystkim pomagają  twórcą przeglądarek w tworzeniu bezpieczniejszego oprogramowania. Nam, jako użytkownikom końcowym zwracają uwagę na niedociągnięcia jakie w przeglądarkach są codziennością. Wydaje się, że i w tym roku Internet Explorer po raz kolejny wypadnie blado w stosunku do konkurencji, a  Google po raz kolejny udowodni, że mechanizm sandbox zaimplementowany w ich produkcie jest ciężki, a może nawet niemożliwy do przejścia.

Edit:

Firefoksa w wersji 3.5.17 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Firefoksa w wersji 3.6.14 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Chrome można pobrać z oficjalnych serwerów Google odpowiednio dla systemów Windows, Linux, Mac OS X.

W dniu wczorajszym Mozilla poinformowała o wydaniu Thunderbirda 3.1.8, jednego z najpopularniejszych na świecie darmowych klientów pocztowych. W nowej wersji poprawiono bezpieczeństwo oraz stabilność programu.

Jeden z wyeliminowanych błędów dotyczył obsługi plików JPEG i był oznaczony jako krytyczny. Mógł on zostać wykorzystany w celu wstrzyknięcia na komputer ofiary złośliwego kodu za pośrednictwem odpowiednio spreparowanego pliku JPEG. Inny krytyczny błąd dotyczył obsługi pamięci nie tylko w kliencie poczty, ale również innych produktów Mozilli. Programiści Mozilli informowali, że przy odrobinie wysiłku również ten błąd mógł umożliwić zainfekowanie komputera ofiary. Usunięto również błąd w obsłudze klasy ParanoidFragmentSink oznaczony jako średnio ważny.

Równocześnie z gałęzią 3.1 trwają pracę nad gałęzią 3.3 klienta pocztowego Thunderbird. W chwili obecnej dostępna jest druga już wersja alfa nowej odsłony programu, którą również można pobrać z serwerów Mozilli.

Wersję 3.1.8 Thunderbirda, którą osobiście polecam wszystkim użytkownikom można pobrać tutaj. Najnowszą wersję alfa gałęzi 3.3 można pobrać tutaj, jednak należy pamiętać, że wersje rozwojowe programu mogą zachowywać się niestabilnie i użytkowanie ich może wiązać się z ryzykiem utraty ważnych danych.

W najbliższym czasie można spodziewać się wydania trzeciej wersji alfa Thunderbirda 3.3. Według informacji zamieszczonych na Wiki Mozilli w pierwszym tygodniu marca ma nastąpić zamrożenie kodu programu, a chwilę później udostępnienie tej wersji do testów użytkownikom końcowym.

W dniu wczorajszym światło dzienne ujrzało już 14. wydanie popularnej platformy blogowej WordPress. WordPress 3.1 nosi nazwę „Reinhardt” na cześć gitarzysty jazzowego Django Reinhardta. W dniu dzisiejszym pojawiła się polskojęzyczna wersja platformy. Można ją pobrać z polskiej strony projektu, lub skorzystać z automatycznych aktualizacji dostępnych z poziomu panelu administracyjnego.

W nowej wersji na pierwszy rzut oka zauważyć można pojawienie się nowego tematu kolorystycznego w panelu administracyjnym.

Usprawniono również dodawanie odnośników do istniejących już wpisów i stron. Żadne wtyczki ułatwiające tą operacje już nie będą potrzebne.

Pojawił się Admin Bar, który wyświetla na górze okna pasek zawierający najważniejsze funkcje bloga. Kolejna dobra informacja dla mnie, ponieważ do tej pory taką funkcjonalność zapewniała mi wtyczka.

Pojawiło się również kilka usprawnień w dodawaniu nowych wpisów, polegających na ukryciu wielu opcji tak, aby nowi i mniej doświadczeni użytkownicy nie zniechęcali się do platformy w wyniku mnogości opcji i funkcji (ukryte opcje można przywrócić za pośrednictwem „Opcji ekranu” znajdujących sie w górnym, prawym rogu ekranu).

Zalecam przetestować najnowszą wersję WordPressa w nieproduktywnym środowisku, ponieważ ja sam natknąłem się na problem z wtyczką New User Approve, która po zainstalowaniu wywołała krytyczny błąd na serwerze i dopiero jej usunięcie pozwoliło na stabilną pracę platformy.

Po więcej informacji zapraszam na stronę wordpress.org

7 lutego pojawiła się kolejna wersja WordPressa, jednej z najpopularniejszych platform blogowych na świecie. Wersja 3.0.5 poprawia stabilność platformy oraz jej bezpieczeństwo. Dostawcy zalecają tą aktualizację wszystkim użytkownikom, a szczególnie tym osobą, które posiadają na swojej platformie niezaufane konta użytkowników.

W tej wersji wyeliminowano dwa błędy pozwalające na przeprowadzenie ataków XSS (Cross-site scripting) przez użytkowników posiadających rolę Autora i Współtwórcy. Inny błąd pozwalał na uzyskanie przez użytkownika posiadającego rolę Autora dostępu do informacji, kóre nie były przeznaczone dla niego (prywatne posty, projekty).

Dodatkowo wprowadzono dwa ulepszenia mające na celu poprawę bezpieczeństwa. Jedno z nich wzmacnia filtrowanie HTML dla pół tekstowych wyświetlanych z użyciem biblioteki KSES. Druga zmiana dotyczy obsługi wtyczek, a konkretnie  funkcji check_admin_referer(), której od tej pory nie można wywołać bez podania konkretnych argumentów.

Ostatnią zmianą jest aktualizacja licencji do GPLv2 (lub nowszej) oraz aktualizacja informacji o prawach autorskich dla biblioteki KSES (biblioteka umożliwiająca oczyszczanie danych wprowadzanych przez użytkowników)

O wszystkich zmianach można przeczytać tutaj.

Jednocześnie wydana została czwarta wersja kandydująca WordPressa oznaczona numerem 3.1. Zawarte są w niej poprawki wprowadzone w wersji 3.0.5 oraz poprawki eliminujące około 24 inne błędy. Między innymi poprawiono:

• mechanizm usuwania użytkowników oraz przypisywania ich wpisów innym użytkownikom.
• kompatybilność z PHP4

W związku z tym, że Fundacja jest bliska wydania wersji finalnej WordPressa 3.1, deweloperzy oraz zwykli użytkownicy proszeni są o testowanie swoich wtyczek i motywów z wersją RC.

Na serwerach Mozilli pojawiła się kolejna wersja beta przeglądarki Mozilli – Firefoksa 4.0. W dziesiątej już wersji testowej przeglądarki wyeliminowano kolejne błędy związane z bezpieczeństwem oraz stabilnością. Pełną listę wyeliminowanych błędów można znaleźć tutaj. Mozilla doszła do wniosku, że przy tak dużej ilości poprawek wniesionych do programu należy całość przetestować po raz kolejny jak najdokładniej. Wniesione poprawki dotyczyły praktycznie każdego obszaru działania przeglądarki, poczynając od mechanizmu synchronizacji, poprzez obsługę grafiki a kończąc na menadżerze dodatków.

Wszystko wskazuje na to, że seria wersji beta sztandarowej przeglądarki Mozilli na numerze 10 nie kończy się. Na Wiki Mozilli pojawiły się wpisy o planach wydania jeszcze jednej bety. Widać, że Mozilla przykłada bardzo dużo uwagi do najnowszego Firefoksa. Wersje beta już wydają się być bardzo stabilnym oprogramowaniem nie sprawiającym żadnych przykrych niespodzianek. Miejmy nadzieję, że wersja finalna przeglądarki będzie godnym konkurentem dla Chrome, Internet Explorera i innych.

Póki co, najnowszą betę Firefoksa można pobrać z serwerów Mozilli.

Edit:

Zaktualizowałem link do serwera, z którego można pobrać najnowszą betę Firefoksa. Wcześniejszy link prowadził do wersji nightly.

Na wtorek Oracle zapowiada wydanie aż 66 łat bezpieczeństwa dla swoich produktów. Wiele z nich ma wyeliminować luki w zabezpieczeniach oceniane jako najbardziej niebezpieczne według skali Common Vulnerability Scoring System. Dla przykładu sześć z łat, ma poprawić bezpieczeństwo we flagowym produkcie Oracle – bazie danych. Dwie luki pozwalają na zdalne wykonanie kodu bez użycia nazwy użytkownika i hasła.

Szesnaście łat bezpieczeństwa jest przeznaczonych dla oprogramowania pośredniczącego (z ang. middleware), z czego aż 12 luk umożliwia zdalne wykonanie kodu z pominięciem procesu autoryzacji.

Inne poprawki są przeznaczone między innymi dla Oracle’s Enterprise Manager, PeopleSoft, JD Edwards, Glassfish i OpenOffice.

Oracle również na luty zapowiada wydanie poprawek dla Javy w wersji biznesowej oraz SE.

Tradycyjnie już, w każdy drugi wtorek miesiąca Microsoft publikuje biuletyny zabezpieczeń. Tym razem gigant z Redmond wydał 11 poprawek, z których 5 oznaczono jako krytyczne, kolejne 5 zyskało status ważnych, a 11 określono jako średnio ważną. Poniżej krótki opis każdego z biuletynów.

MS10-019 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Authenticode Verification, pozwalającej na zdalne wykonanie kodu

MS10-020 (krytyczny) – dotyczy luki w zabezpieczeniach w kliencie SMB, pozwalającej na zdalne wykonanie kodu

MS10-025 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Services uruchomionym na systemie Microsoft Windows 2000 Server, pozwalającej na zdalne wykonanie kodu

MS10-026 (krytyczny) – dotyczy luki w zabezpieczeniach w kodekach audio dostarczanych przez Microsoft (Microsoft MPEG Layer-3), pozwalającej na zdalne wykonanie kodu

MS10-027 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Player, pozwalającej na zdalne wykonanie kodu

MS10-021 (ważny) – dotyczy luki w zabezpieczeniach w jądrze systemu Microsoft Windows pozwalającej na podniesienie uprawnień za pośrednictwem odpowiednio przygotowanego kodu

MS10-022 (ważny) – dotyczy luki w zabezpieczeniach w VBScript w systemie Microsoft Windows, pozwalającej na zdalne wykonanie kodu

MS10-023 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Publisher, pozwalającej na zdalne wykonanie kodu

MS10-024 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Exchange i Windows SMTP Service, pozwalającej na przeprowadzenie ataku DoS

MS10-028 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Visio, pozwalającej na zdalne wykonanie kodu

MS10-029 (średni ważny) – dotyczy luki w zabezpieczeniach w pakiecie ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) pozwalającej na spoofing.

Pozostaje nam zaktualizować nasze Windowsy i czekać cierpliwie na kolejne biuletyny, które zostaną wydane 11 maja.