markasblog

Wczoraj ukazała się nowa wersja przeglądarki Firefox oznaczona numerem 3.6.2. Został w niej wyeliminowany krytyczny błąd w zabezpieczeniach, o którym świat usłyszał już w lutym, pozwalający na zdalne przejęcie kontroli nad atakowaną maszyną. Poza wyeliminowaniem krytycznej luki, poprawiono stabilność przeglądarki eliminując kilka innych mniejszych błędów.

Wspomniana luka istnieje również we wczesnej wersji przeglądarki Firefox 3.7. Dla użytkowników korzystających z wersji 3.7 zalecana jest aktualizacja do wersji Alpha3.

W przeciągu najbliższych 48 godzin aktualizacja przeglądarki powinna pojawić się w mechanizmie automatycznych aktualizacji. Wersję instalacyjną Firefoksa 3.6 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux i Mac OS X.

Mozilla postanowiła agresywniej namawiać użytkowników starszych wersji przeglądarki Firefox do aktualizacji do wersji 3.6. Akcja ma być skierowana do użytkowników Firefoksa 3.0 wydanego w 2008 roku oraz Firefoksa 3.5 wydanego w roku 2009. Kampania ma polegać na wyświetlaniu zaproszenia do aktualizacji przeglądarki, a wszystko ma się opierać na systemie automatycznych aktualizacji.

Proces będzie wyglądał podobnie jak wcześniej. Użytkownik ujrzy na ekranie zaproszenie do aktualizacji, które będzie można przyjąć, odłożyć na kolejne 24 godziny lub całkowicie odrzucić. W przypadku tego ostatniego, opcja ta nie działa definitywnie i za jakiś czas zaproszenie pojawi się ponownie. W ten sposób Mozilla chce przekonać nieprzekonanych do aktualizacji. Ważną kwestą w całym procesie jest to, że okienko z propozycją aktualizacji pojawi się dopiero po 1 minucie nieużywania klawiatury. W ten sposób Mozilla chce mieć pewność, że nie przeszkodziła użytkownikowi w pracy.

Mike Beltzner – szef projektu, zwraca uwagę, że jako pierwsi na najnowszą odsłonę Firefoksa powinni migrować użytkownicy, którzy dotychczas korzystali z Firefoksa 3.0. Powodem jest kończący się okres wsparcia dla tej gałęzi przeglądarki, zaplanowany na 30 marca dla wersji 3.0.19.

Firefox 3.6 niesie ze sobą wiele zmian w stosunku do starszych wersji. Ulepszony silnik, szybsze działanie, nowy, lekki mechanizm kompozycji Personas oraz mnogość wtyczek, które już w większości zostały przystosowane do najnowszej odsłony Firefoksa, powinny spowodować, że aktualizacja do najnowszej wersji powinna poskutkować dużo przyjemniejszą pracą.

Marzec jest miesiącem ubogim jeżeli chodzi o wydane biuletyny zabezpieczeń przez Microsoft. Poniżej opis biuletynów:

MS10-016 (ważny) – dotyczy luki w zabezpieczeniach w programie Windows Movie Maker i Microsoft Producer 2003, pozwalającej na zdalne wykonanie kodu. Problem dotyczy w szczególności systemów Windows XP i Windows Vista, ponieważ na tych systemach program Windows Movie Maker jest instalowany wraz z systemem. Na systemie Windows 7 program jest instalowany opcjonalnie i w większości przypadków problem tej edycji systemu Windows nie dotyczy.

MS10-017 (ważny) – biuletyn rozwiązuje siedem problemów bezpieczeństwa w programie Microsoft Office Excel, pozwalających na zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku. Problem dotyczy przede wszystkim: Microsoft Office Excel 2002, Microsoft Office Excel 2003, Microsoft Office Excel 2007, Microsoft Office 2004 for Mac, and Microsoft Office 2008 for Mac, Open XML File Format Converter for Mac oraz wszystkich wspieranych wersji Microsoft Office Excel Viewer i  Microsoft Office Compatibility Pack.

W dniu dzisiejszym pojawiła się nowa wersja platformy WordPress oznaczona numerem 2.9.2. Aktualizacja jest szczególnie zalecana dla platform, na których publikuje wielu użytkowników. Thomas Mackenzie ujawnił błąd polegający na możliwości wydobycia z Kosza wpisów należących do innego użytkownika. Najnowsza poprawka wyeliminowała ten problem.

W dniu wczorajszym, tradycyjnie już pojawiły się microsoftowe biuletyny zabezpieczeń. Wśród trzynastu aktualizacji znalazło się 5 biuletynów oznaczonych jako krytyczne, 7 biuletynów oznaczonych jako ważne oraz jeden sklasyfikowany jako średni. Poniżej lista wszystkich poprawek z krótkim opisem.

MS10-006 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach w kliencie SMB, pozwalających  na zdalne wykonanie kodu.

MS10-007 (krytyczny) – dotyczy luki w zabezpieczeniach w powłoce systemów Windows 2000, Windows XP i Windows 2003 Server, pozwalającej na zdalne wykonanie kodu.

MS10-008 (krytyczny) – zbiorcza aktualizacja zabezpieczeń dla formatu ActiveX. Jako krytyczny został sklasyfikowany w odniesieniu do wszystkich wydań systemu Windows 2000 oraz Windows XP, a jako ważny został oznaczony w odniesieniu do wszystkich wydań systemu Windows Vista oraz Windows 7.

MS10-009 (krytyczny) – eliminuje cztery luki w zabezpieczeniach w stosie TCP/IP, pozwalające na zdalne wykonanie kodu w określonych okolicznościach (włączona obsługa protokołu IPv6).

MS10-013 (krytyczny) – dotyczy luki w zabezpieczeniach w Microsoft DirectShow, pozwalającej na zdalne wykonanie kodu. Dla systemów Windows Server 2003, Windows Server 2008 i Windows Server 2008 R2 bazujących na architekturze Itanium, biuletyn został oznaczony jako „ważny”.

MS10-010 (ważny) – dotyczy luki w zabezpieczeniach w platformie Hyper-V wbudowanej w system Windows Server 2008, pozwalającej na przeprowadzenie ataku Dos (Denial of Service).

MS10-011 (ważny) – dotyczy luki w zabezpieczeniach w CSRSS (Client/Server Run-time Subsystem), pozwalającej na podniesienie uprawnień. Biuletyn dotyczy systemów Windows 2000, Windows XP oraz Windows Server 2003.

MS10-012 (ważny) – dotyczy luki w zabezpieczeniach w serwerze SMB, pozwalającej na zdalne wykonanie kodu.

MS10-014 (ważny) – dotyczy luki w zabezpieczeniach w protokole Kerberos (protokół uwierzytelniania i autoryzacji w sieci komputerowej) pozwalającej na przeprowadzenie ataku Dos (Denial of Service).

MS10-015 (ważny) – dotyczy dwóch luk w zabezpieczeniach w jądrze systemu Windows, pozwalających na podniesienie uprawnień.

MS10-003 (ważny) – dotyczy luki w zabezpieczeniach w pakiecie Microsoft Office XP i Microsoft Office 2004 for Mac, pozwalającej na zdalne wykonanie kodu i całkowite przejęcie kontroli nad systemem.

MS10-004 (ważny) – dotyczy sześciu luk w zabezpieczeniach w programie Microsoft Office PowerPoint, pozwalających na zdalne wykonanie kodu i całkowite przejęcie kontroli nad systemem.

MS10-005 (średni) – dotyczy luki w zabezpieczeniach w Microsoft Paint pozwalającej na zdalne wykonanie kodu. Najbardziej narażeni są użytkownicy pracujący na kontach z uprawnieniami administratora.

Tradycyjnie zalecam jak najszybszą aktualizację.

Luka w przeglądarce Microsoftu, która została wykorzystana do ataku na komputery między innymi Google zostanie załatana przez korporację jeszcze przed wydaniem lutowych biuletynów zabezpieczeń. Microsoft podjął taką decyzję po naciskach ze strony specjalistów, którzy zwrócili uwagę na fakt, że podatność ta nie dotyczy tylko i wyłącznie IE w wersji 6, ale przy odpowiednich modyfikacjach złośliwego kodu, możliwe jest przeprowadzenie ataku na maszyny z zainstalowanymi późniejszymi wersjami Internet Explorera. Dowodem na to może być koncept opracowany przez Dina Dai Zovi, który przystosował złośliwy kod do ataku na system Windows Vista z zainstalowanym IE7, w sposób umożliwiający mu przeglądanie zasobów dyskowych zaatakowanej maszyny z pominięciem mechanizmu zabezpieczeń DEP. Póki co  nie udało się modyfikować ustawień systemu.

Jak widać, Microsoft poważnie podszedł do problemu deklarując wydanie stosownej poprawki poza standardowym harmonogramem. Dla przypomnienia, biuletyny zabezpieczeń w ramach których są udostępniane poprawki dla produktów Microsoft są publikowane w każdy drugi wtorek miesiąca. Oficjalna data wydania stosownej poprawki ma zostać ogłoszona wkrótce.

Styczeń  nie obfitował w ilość biuletynów zabezpieczeń opublikowanych przez Microsoft, ponieważ ukazała się jedynie jedna łatka, ale oznaczona za to jako krytyczna. Biuletyn oznaczony jako MS10-001 dotyczy luki w zabezpieczeniach w Embedded OpenType Font Engine pozwalającej na zdalne wykonanie kodu. Udany atak pozwala na instalowanie programów, przeglądanie, zmienianie, usuwanie i dodawanie danych oraz tworzenie nowych kont z pełnymi uprawnieniami. Oczywiście najmniej podatne na niebezpieczeństwo były osoby nie pracujące na kontach administratora.

Nie minęły dwa dni od momentu jak zaktualizowałem platformę WordPress do wersji 2.9, a już pojawiła się kolejna odsłona, w której wyeliminowano aż 24 błędy zgłoszone przez społeczność użytkowników. Pełna lista wyeliminowanych błędów znajduje się tutaj. Póki co pakiety aktualizacyjne nie pojawiły się w automatycznych aktualizacjach, więc dla niecierpliwych pozostaje przeprowadzenie procesu aktualizacji ręcznie. Szczegółową instrukcję aktualizacji ręcznej WordPress znajdziecie tutaj.

EDIT:

W automatycznych aktualizacjach pojawiła się wersja angielskojęzyczna. Przy aktualizacji silników naszych blogów za pomocą tej wersji należy zachować szczególną ostrożność, ponieważ podczas instalacji może ulec uszkodzeniu tłumaczenie, z którego aktualnie korzystamy.

EDIT:

Przeprowadziłem aktualizację na testowym blogu działającym na tym samym serwerze, na którym działa produktywna platforma i wszystko przebiegło bez najmniejszych problemów. Wydaje się więc, że angielskojęzyczne pakiety, które zostały udostępnione w Automatycznych aktualizacjach nie mają żadnego negatywnego wpływu na polskojęzyczne tłumaczenie platformy.

Po tym jak już opadały emocje po wydaniu najnowszej wersji platformy WordPress 2.9, przyszedł czas na aktualizację silnika markasblog. Przez kilka tygodni co bardziej zatwardziali testerzy wykryli niedociągnięcia, które wkradły się w finalny kod, dzięki czemu bez problemu teraz można już te błędy wyeliminować, dzięki wskazówką zamieszczonym na innych blogach.

Co nowego w WordPress 2.9?

• możliwość edycji wgranej grafiki
• nowe atrybuty dla znacznika generującego galerię wgranych zdjęć
• funkcja kosza
• masowa aktualizacja wtyczek
• łatwiejsze osadzanie zewnętrznych multimediów
• naprawa i optymalizacja bazy danych
• skracanie adresów przez wp.me

Więcej informacji znajdziecie na blogu wpninja.pl

Niektórzy twierdzą, że WordPress już przed premierą wersji 2.9 był ociężałą kobyłą, a dodanie nowych funkcji w najnowszej wersji sprawił, że ten stany rzeczy zamiast się poprawić, pogorszył się.  Szczerze powiem, że na tą chwilę, a jestem kilka godzin po aktualizacji, nie zauważyłem jakiś znaczących skoków wydajności ani na plus, ani na minus. Nie wiem jak zachowuje się platforma podczas automatycznej aktualizacji do najnowszej wersji, ponieważ upgrade wykonałem ręcznie, aby mieć większą kontrolę nad całym procesem. Jeżeli ktoś miałby problem z automatyczną aktualizacją, polecam zajrzeć tutaj.

Według mnie najbardziej interesująca jest funkcja naprawy i optymalizacji bazy danych. To bardzo dobra alternatywa dla tych, którzy nie czują się zbyt pewnie w phpMyAdmin.

Pożyjemy, zobaczymy. Na horyzoncie już pojawił się WordPress 2.9.1 RC1, w którym naprawiono już 23 błędy, które wykryto od premiery wersji 2.9. To znak, że programiści nie próżnują.

Wczoraj ukazała się kolejna stabilna wersja przeglądarki Firefox. Najnowsza aktualizacja oznaczona jest numerem 3.5.6 oraz 3.0.16 i eliminuje w sumie 62 błędy związane z bezpieczeństwem i stabilnością programu, w tym 11 błędów zostało oznaczonych jako krytyczne, a 6 jako ważne. Pełna lista poprawionych błędów jest dostępna tutaj.

Obok prac nad stabilnymi wydaniami Firefoksa (wersje 3.0 i 3.5), Mozilla prowadzi prace nad Firefoksem w wersji 3.6, gdzie wydana została już czwarta i prawdopodobnie ostatnia wersja beta, oraz nad wersją 3.7, która w tym momencie nie wyszła jeszcze z fazy alfa.

Stabilną wersję przeglądarki Firefox 3.5.6 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemu: Windows, Linux, Mac OS X.