markasblog

18 stycznia OpenSSL Project wydał poprawkę, która wyeliminowała podatność na ataki DoS, która z kolei została zaimplementowana przy okazji wydania krytycznych łat bezpieczeństwa 6 stycznia tego roku. Luka oznaczona kodem CVE-2011-4108 dotyczy implementacji protokołu DTLS, pozwala na odszyfrowanie zabezpieczonej transmisji bez znajomości klucza szyfrowania. Wydawcy zalecają aktualizację OpenSSL do wersji 1.0.0g lub 0.9.8t, z pominięciem wersji 1.0.0f i 0.9.8s.

Wczoraj mieliśmy drugi wtorek miesiąca, więc posiadacze systemów operacyjnych ze stajni Microsoftu ujrzeli nowe biuletyny bezpieczeństwa. Tym razem wydano 7 biuletynów z czego jeden został oznaczony jako krytyczny, a pozostałe jako ważne. Dla przypomnienia, w zeszłym miesiącu Microsoft wydał 14 biuletynów bezpieczeństwa. Poniżej zamieszczam skrócony opis każdego ze styczniowych biuletynów.

MS12-004 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach formatu Windows Media, które umożliwiają wykonanie zdalnego kodu

MS12-001 (ważny) – dotyczy luki w zabezpieczeniach jądra systemu Windows, która umożliwia obejście funkcji zabezpieczeń

MS12-002 (ważny) – dotyczy luki w zabezpieczeniach programu Pakowarka obiektów systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-003 (ważny) – dotyczy luki w zabezpieczeniach Podsystemu wykonawczego serwera/klienta w systemie Windows, która umożliwia podniesienie uprawnień

MS12-005 (ważny) – dotyczy luki w zabezpieczeniach systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-006 (ważny) – dotyczy luki w zabezpieczeniach protokołu SSL/TLS, która umożliwia ujawnienie informacji

MS12-007 (ważny) – dotyczy luki w zabezpieczeniach biblioteki AntiXSS, która umożliwia ujawnienie informacji

Zachęcam do aktualizacji systemów.

Kilka dni temu firma SplashData opublikowała raport o najczęściej używanych i zarazem najgorszych hasłach w roku 2011. Okazuje się, że wciąż najpopularniejsze hasła to takie, które wprost wynikają z układu klawiatury, lub są nazwami własnymi, którymi są na przykład imiona użytkowników.

Specjaliści zauważają jednocześnie, że skomplikowanie haseł wciąż rośnie, ale do miana bezpiecznych wciąż im sporo brakuje. Coraz więcej dostawców narzuca na użytkowników określone minimalne kryteria złożoności haseł (np.: minimum jedna cyfra w haśle, lub minimum jedna wielka litera), ale te bardziej „złożone” hasła i tak przybierają formę „abc123″. Innym problemem jest powtarzalność haseł w wielu miejscach. Najczęściej stosowane są te sama hasła do wielu serwisów. Hakerzy pomimo, że mają już narzędzia do łamania bardziej wyrafinowanych haseł i tak w pierwszej kolejności uderzają w łatwe cele, a takimi bez wątpienia są użytkownicy używający jednego hasła do zabezpieczenia różnych miejsc w sieci.

Poniżej zamieszczam 25 haseł, które uchodzą za najczęściej używane i zarazem za najłatwiejsze do złamania w roku 2011 według firmy SplashData:

• password
• 123456
• 12345678
• qwerty
• abc123
• monkey
• 1234567
• letmein
• trustno1
• dragon
• baseball
• 111111
• iloveyou
• master
• sunshine
• ashley
• bailey
• passw0rd
• shadow
• 123123
• 654321
• superman
• qazwsx
• michael
• football

Oczywiście jest to angielskojęzyczna lista. Z doświadczenia jednak wiem, że wielu użytkowników (również moich znajomych) używa haseł, które ja bez problemu mógłbym odgadnąć, chociaż z hakerem mam niewiele wspólnego.

Kluczem do dobrego hasła jest jego złożoność. Nie bójmy się haseł długich, składających się z liter dużych i małych, cyfr oraz znaków specjalnych (%, ^, * itp.). Unikajcie stosowania tych samych haseł w miejscach ważnych ze względu na bezpieczeństwo informacji tam przechowywanych. Jeżeli nie jesteście przekonani do programów zarządzających hasłami, stwórzcie listę papierową i przechowujcie ją w miejscu bezpiecznym. Są to naprawdę proste środki i tanie we wdrożeniu, a mogą wam zaoszczędzić wiele stresu w przypadku włamania na komputer i przechwycenia ewentualnie zapisanych na dysku haseł.

26 maja (środa) pojawiła się kolejna aktualizacja platformy WordPress. Wersja 3.1.3 wprowadza kilka poprawek bezpieczeństwa. Między innymi poprawiono bezpieczeństwo przesyłania plików z komputerów o niskim poziomie zabezpieczeń oraz poprawiono bezpieczeństwo obsługi mediów. Dodatkowo pojawiła się funkcjonalność, która usuwa stare pliki importu WordPress, jeżeli taki import nie został zakończony pomyślnie. Wprowadzono także mechanizm ochrony przed atakiem typu clickjacking na stronie administratora oraz na stronie logowania. Niestety (dla niektórych) mechanizm ten działa tylko i wyłącznie w nowoczesnych przeglądarkach.

Pełną listę zmian można znaleźć tutaj.

Jednocześnie trwają pracę nad gałęzią 3.2 platformy WordPress. Jednocześnie z wersją 3.1.3 pojawiła się druga beta odłamu 3.2. Wydanie wersji RC planowane jest na początek czerwca, a wersja finalna planowana jest na koniec miesiąca. Najważniejszą ze zmian w wersji WordPress 3.2 Beta 2 w stosunku do pierwszej wersji beta jest zaimplementowanie obsługi biblioteki jQuery 1.6.1.

W zeszłym tygodniu na blogu skupiającym się na systemie Android opublikowano informację, że oprogramowanie Skype wyprodukowane dla platformy Android nie blokuje dostępu do wielu poufnych informacji znajdujących się na telefonach.

W niepowołane ręce mogą wpaść takie dane jak nazwa użytkownika, adres e-mail, lista kontaktów oraz logi rozmów z klienta Skype. Sam producent oprogramowania Skype potwierdził zarzuty w piątek.

Problem polega na tym, że Skype nadaje błędne uprawnienia do plików, pozwalając na dostęp do nich każdemu.

Producent oprogramowania Skype obiecał zająć się problemem prywatności, ale działania mające na celu wyeliminowanie problemu nie zostały ujęte w żadnym harmonogramie.

Chet Wiśniewski, specjalista ds. bezpieczeństwa z Sophos powiedział, że problemy z prywatnością oprogramowania Skype dla Androida mogły

powstać z niechlujstwa w kodowaniu w najlepszym razie, lub braku szacunku dla prywatności w najgorszym.

Na chwilę obecną problem z prywatnością oprogramowania Skype dla Androida nie została wyeliminowana.

W dniu wczorajszym pojawiła się aktualizacja platformy blogowej WordPress. Wersja 3.1.1 niesie ze sobą zwiększone bezpieczeństwo w module odpowiedzialnym za upload mediów, zwiększoną odporność na awarie związane z przesyłaniem złożonych linków. Dodatkowo jest wyeliminowana podatność na ataki XSS w procesie aktualizacji bazy danych. Ponadto poprawiono 26 innych błędów, których listę można zobaczyć tutaj.

Zaleca się zaktualizowanie swoich platform najszybciej jak to będzie możliwe.

Po tym jak Adobe w poniedziałek opublikował informację o istnieniu luki zero-day  w odtwarzaczu Flash Player, która umożliwia przeprowadzenie ataku przy użyciu odpowiednio spreparowanego pliku Excel, Google we wtorek wydał aktualizacje przeglądarki Chrome, w której ten problem został wyeliminowany. Tak szybka reakcja jest efektem ścisłej współpracy Adobe z Google, która trwa od kwietnia 2010. Na mocy umowy spisanej pomiędzy dwoma gigantami, Adobe udostępnia nowe wersje oprogramowania Flash programistą Google w celu testów i późniejszej integracji.

Często w tej sytuacji zdarza się, że przeglądarka od Google pracuje z najnowszą wersją Flasha, zanim jeszcze jest ona dostępna do pobrania przez użytkowników innych przeglądarek internetowych. I tak jest i w tym przypadku. Firefox, Safari, IE oraz Opera muszą czekać na oficjalne udostępnienie najnowszej wersji Flasha, a tymczasem Chrome już teraz pracuje z wersją 10.2.154.25 programu Flash Player.

Najnowszą wersję Chrome oznaczoną numerem 10.0.648.134 można pobrać ze stron producenta odpowiednio dla systemu: Windows, Linux, Mac OS X.

Użytkownicy, którzy już korzystają z przeglądarki Chrome mogą, a nawet powinni skorzystać z opcji automatycznych aktualizacji.

Adobe po raz kolejny ma problem z bezpieczeństwem swoich produktów. Tym razem problem, jak nie trudno się domyślić, dotyczy luki w w Flash Playerze. Producent potwierdził w tym tygodniu, że w ich produkcie istnieje poważny błąd związany z bezpieczeństwem i jest on wykorzystywany przez cyberprzestępców. Do ataków wykorzystywany jest plik Excel, w którym osadzony jest obiekt Flash. W chwili obecnej atak w takiej formie ma dość mały zasięg działania. Należy jednak pamiętać, że sposób ataku z wykorzystaniem powszechnie zaufanych plików Excel może dość szybko stać się potężną bronią w rękach hakerów. W efekcie skutecznie przeprowadzonego ataku, cyberprzestępca może przejąć kontrolę nad systemem. Do tej pory Adobe nie otrzymało informacji o podatności na atak programu Adobe Reader oraz Adobe Creator.

Producent programu zapowiada wydanie poprawek dla Flasha, Adobe Readera oraz Adobe Creatora w przyszłym tygodniu. Wydana aktualizacja bezpieczeństwa uszczelni kod, który umożliwia zamieszczanie obiektów Flash w dokumentach PDF.

Aktualizacji nie zostanie natomiast poddany Reader X. Twórcy programu twierdzą, że mechanizm sandbox wbudowany w najnowszą przeglądarkę plików PDF skutecznie niweluje ryzyko ataku przeprowadzonego z użyciem luki w platformie Flash. Dodatkowym argumentem za pominięciem Readera X w cyklu aktualizacji jest możliwość opóźnienia prac nad wydaniem poprawek dla programów Flash oraz Adobe Reader.

Pwn2Own, jeden z największych na świecie konkursów przygotowanych dla hakerów rusza już w przyszłym tygodniu. Tymczasem Mozilla idąc w ślady Google, wydała poprawki bezpieczeństwa dla przeglądarki Firefox. Firefox w wersji 3.5.17 oraz 3.6.14 pozbawiony został 11 błędów oznaczonych jako krytyczne oraz jednego oznaczonego jako ważny oraz jednego oznaczonego jako umiarkowany. Należy zwrócić uwagę, że jest to pierwsza od dłuższego czasu aktualizacja Firefoksa. Ostatnia miała miejsce w grudniu 2010. Jednym z powodów, dla którego wydanie aktualizacji było opóźnione, była konieczność zbadania błędu występującego we wcześniejszej wersji przeglądarki, który doprowadzał w pewnych sytuacjach do awarii programu.

Poprawki wydane we wtorek wyeliminowały między innymi 3 usterki w obsłudze JavaScript, 2 błędy w silniku przeglądarki, jeden błąd w obsłudze plików JPEG (pisałem również o tym przy okazji klienta Thunderbird 3.1.8), oraz poważny błąd CSRF, który mógł być wykorzystany do przeprowadzenia ataku z wykorzystaniem odpowiednio spreparowanych plików Flash.

Google aktualizacje do przeglądarki Chrome wydał w poniedziałek. W przeglądarce oznaczonej numerem 9.0.597.107 wyeliminowano 16 luk bezpieczeństwa oznaczonych jako ważne oraz 3 oznaczone jako średnie. W nomenklaturze wprowadzonej przez Google jako krytyczne określa się luki w zabezpieczeniach, które umożliwiają wykonanie kodu poza mechanizmem sandbox. Błędy wyeliminowane w poniedziałek dotyczyły przede wszystkim mechanizmu WebGL, API dla sprzętowej akceleracji grafiki 3D, SVG renderingu i animacji oraz błędów związanych z paskiem adresu przeglądarki.

Ciekawe jak w tym roku wypadną przeglądarki internetowe w konkursie. Rok temu przed atakiem hakerów uchroniła się jedynie przeglądarka ze stajni Google. Safari, IE8 oraz Firefox uległy, chociaż w tym miejscu należy podkreślić, że IE od Microsoftu postawiło najmniejszy opór.

Konkursy takie jak Pwn2Own przede wszystkim pomagają  twórcą przeglądarek w tworzeniu bezpieczniejszego oprogramowania. Nam, jako użytkownikom końcowym zwracają uwagę na niedociągnięcia jakie w przeglądarkach są codziennością. Wydaje się, że i w tym roku Internet Explorer po raz kolejny wypadnie blado w stosunku do konkurencji, a  Google po raz kolejny udowodni, że mechanizm sandbox zaimplementowany w ich produkcie jest ciężki, a może nawet niemożliwy do przejścia.

Edit:

Firefoksa w wersji 3.5.17 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Firefoksa w wersji 3.6.14 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Chrome można pobrać z oficjalnych serwerów Google odpowiednio dla systemów Windows, Linux, Mac OS X.

W dniu wczorajszym Mozilla poinformowała o wydaniu Thunderbirda 3.1.8, jednego z najpopularniejszych na świecie darmowych klientów pocztowych. W nowej wersji poprawiono bezpieczeństwo oraz stabilność programu.

Jeden z wyeliminowanych błędów dotyczył obsługi plików JPEG i był oznaczony jako krytyczny. Mógł on zostać wykorzystany w celu wstrzyknięcia na komputer ofiary złośliwego kodu za pośrednictwem odpowiednio spreparowanego pliku JPEG. Inny krytyczny błąd dotyczył obsługi pamięci nie tylko w kliencie poczty, ale również innych produktów Mozilli. Programiści Mozilli informowali, że przy odrobinie wysiłku również ten błąd mógł umożliwić zainfekowanie komputera ofiary. Usunięto również błąd w obsłudze klasy ParanoidFragmentSink oznaczony jako średnio ważny.

Równocześnie z gałęzią 3.1 trwają pracę nad gałęzią 3.3 klienta pocztowego Thunderbird. W chwili obecnej dostępna jest druga już wersja alfa nowej odsłony programu, którą również można pobrać z serwerów Mozilli.

Wersję 3.1.8 Thunderbirda, którą osobiście polecam wszystkim użytkownikom można pobrać tutaj. Najnowszą wersję alfa gałęzi 3.3 można pobrać tutaj, jednak należy pamiętać, że wersje rozwojowe programu mogą zachowywać się niestabilnie i użytkowanie ich może wiązać się z ryzykiem utraty ważnych danych.

W najbliższym czasie można spodziewać się wydania trzeciej wersji alfa Thunderbirda 3.3. Według informacji zamieszczonych na Wiki Mozilli w pierwszym tygodniu marca ma nastąpić zamrożenie kodu programu, a chwilę później udostępnienie tej wersji do testów użytkownikom końcowym.