markasblog

W dniu wczorajszym Apple wydał aktualizacje, które w sumie łatają 36 błędów w zabezpieczeniach systemu Mac OS X. Załatane zostały systemy w wersjach 10.7 (Lion) oraz 10.6 (Snow Leopard). Jedną z ważniejszych i  mocno oczekiwanych przez użytkowników jest poprawka wydana dla funkcji FileVault wbudowanej w system Lion. Problem dotyczył haseł przechowywanych w postaci zwykłego tekstu.

Cztery z poprawek dotyczyły tylko i wyłącznie systemu Snow Leopard i podatności na ataki z wykorzystaniem odpowiednio spreparowanych plików graficznych. Kolejne cztery poprawki wydane zostały dla odtwarzacza multimedialnego QuickTime  oraz jedna dla funkcji FileVault2 zaimplementowanej w systemie Mac OS X 10.7 Lion eliminującej problem z nieszyfrowaniem danych w momencie przechodzenia komputera w stan „uśpienia”.

21 z 36 poprawek eliminuje podatności na wykonanie dowolnego kodu i zostały oznaczone jako krytyczne ponieważ mogą doprowadzić do infekcji złośliwym oprogramowaniem.

Osiem z poprawek dotyczy tylko i wyłącznie systemu Mac OS X 10.6 Snow Leopard.

Lion doczekał się również szeregu poprawek związanych ze stabilnością oraz kompatybilnością. Poprawiono współpracę z usługami serwera SMB oraz Microsoft Active Directory.

Obecna seria aktualizacji może okazać się ostatnią dla systemu Mac OS X 10.6 Snow Leopard, bowiem według polityki Apple wydanie nowej wersji systemu, a takowe ma nastąpić już w czerwcu w postaci Mac OS X 10.8 Mountain Lion, skutkuje wstrzymaniem wsparcia w postaci wydania poprawek bezpieczeństwa dla najstarszej obecnie wspieranej wersji systemu Mac OS X.

Aktualizacje można instalować za pośrednictwem witryny pomocy technicznej Apple lub za pomocą wbudowanego w system mechanizmu aktualizacji.

Wczoraj mieliśmy drugi wtorek miesiąca, a więc Microsoft zgodnie ze swoim harmonogramem wydał kolejne biuletyny zabezpieczeń. W sumie jest ich 7, z czego 3 zostały oznaczone jako krytyczne, a cztery jako ważne. 5 z biuletynów rozwiązuje problem z możliwością zdalnego wykonania kodu, a 2 pozostałe eliminują problem z możliwością podniesienia uprawnień. Poniżej krótki opis każdego z biuletynów.

MS12-029 (krytyczny) – dotyczy luki w zabezpieczeniach programu Microsoft Word umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku RTF.

MS12-034 (krytyczny) – dotyczy zbiorczej aktualizacji zabezpieczeń dla pakietu Microsoft Office, systemu Windows, systemu .NET Framework i programu Silverlight; buletyn eliminuje 3 luki w zabezpieczeniach, z których każda pozwala na zdalne wykonanie kodu z użyciem odpowiednio spreparowanego dokumentu lub złośliwej strony internetowej zawierającej osadzone pliki czcionek TrueType.

MS12-035 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework umożliwiającej zdalne wykonanie kodu z wykorzystaniem specjalnie spreparowanej strony internetowej uruchomionej w przeglądarce obsługującej aplikacje XAML (XBAP).

MS12-030 (ważny) – dotyczy luki w zabezpieczeniach pakietu Microsoft Office umożliwiającej zdalne wykonanie kodu z użyciem specjalnie spreparowanego pliku pakietu Office.

MS12-031 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft Visio Viewer 2010 umożliwiającej zdalne wykonanie kodu z użyciem specjalnie spreparowanego pliku programu Visio.

MS12-032 (ważny) – dotyczy luki w zabezpieczeniach stosu TCP/IP umożliwiającej podniesienie uprawnień z użyciem specjalnie spreparowanej aplikacji uruchomionej przez użytkownika zalogowanego do systemu.

MS12-033 (ważny) – dotyczy luki w zabezpieczeniach Menedżera partycji systemu Windows umożliwiającej podniesienie uprawnień dzięki odpowiednio spreparowanej aplikacji uruchomionej przez osobę posiadającą prawidłowe poświadczenia logowania oraz mającą możliwość zalogowania się do systemu lokalnie.

Facebook staje się coraz bezpieczniejszy dzięki pracy grupy Facebook Security Team. Grupa od dłuższego działa na polu zwiększenia bezpieczeństwa również współpracując z największymi w branży IT. I tak od dzisiaj do grupy firm działających w sektorze bezpieczeństwa internetu współpracujących z Facebookiem dołączają Microsoft, McAfee, TrendMicro, Sophos i Symantec. Jednocześnie ogłoszono otwarcie usługi o nazwie Antivirus Marketplace. W ramach współpracy z liderami branży bezpieczeństwa baza systemu blokowania złych adresów URL będzie powiększona o dane zgromadzone przez firmy zaproszone do współpracy.

Już teraz Facebook może pochwalić się obniżeniem ilości spamu w publikowanych treściach do około 4%, a specjaliści z Facebook Security Team mają ambicję zejść jeszcze niżej z tym wskaźnikiem.

Antivirus Marketplace to produkt, który powstał przy okazji zacieśnienia współpracy przy rozbudowie systemu blokowania złych URLi. W ramach Antivirus Marketplace każdy użytkownik uzyska dostęp do produktów antywirusowych firmy Microsoft, McAfee, TrendMicro, Sophos oraz Symantec. Usługa pozwala na pobranie pełnych wersji oprogramowania antywirusowego z licencją na 6 miesięcy użytkowania. Zastanawia mnie licencja 6-miesięczna na produkt Microsoft Security Essentials, bowiem firma z Redmond udostępnia swój produkt zupełnie za darmo z dożywotnimi aktualizacjami i tak jest i w tym momencie, bowiem na stronie Microsoft program jest dostępny za darmo dla użytkowników z zainstalowanym oryginalnym systemem Windows, więc zapewne ograniczona licencja nie dotyczy produktu Microsoft.

Ponadto na stronie Facebook Security Blog pojawią się materiały edukacyjne udostępnione przez wspomniane 5 firm, w których będą poruszane kwestie bezpieczeństwa użytkowników w sieci.

Powyższa współpraca to dobry przykład na robienie pieniędzy pod przykrywką jakieś wyższej idei. Oczywiście idea jest jak najbardziej słuszna i współpraca takich firm jak Microsoft czy Sophos z Facebookiem przyniesie więcej pożytku niż strat, ale nie mogę pozbyć się wrażenia, że w zamian za udostępnienie baz złych adresów URL, producenci oprogramowania antywirusowego otrzymali bazę potencjalnych klientów kupujących ich produkty.

W piątek na blogu WordPress pojawiła się informacja o wydaniu wersji 3.3.2 tej platformy blogowej, w której wyeliminowano kilka problemów z bezpieczeństwem. W ramach wersji 3.3.2 aktualizacje otrzymały 3 zewnętrzne biblioteki zawarte w WordPress:

• Plupload (1.5.4) używana przez WordPress do przesyłania plików
• SWFUpload używana przez WordPress do przesyłania mediów; wcześniej biblioteka mogła być również używana przez wtyczki
• SWFObject używa przez WordPress do osadzania zawartości Flash; wcześniej biblioteka mogła być również używana przez wtyczki i motywy

Ponadto, aktualizacja bezpieczeństwa rozwiązuje również problem z ograniczonym rozszerzeniem uprawnień związanym z dostępem do sieci wtyczek. Wyeliminowane zostały również dwie luki cross-site scripting. Pierwsza z nich jest związana z tworzeniem klikalnych adresów URL, a  druga dotyczy przekierowań po zamieszczeniu komentarzy w starszych przeglądarkach oraz filtrowania URLi.

Najnowsza aktualizacja bezpieczeństwa została również zaimplementowana w WordPress 3.4 Beta 3. Po zmianach wniesionych przez 9 dni od wydania drugiej bety widać, że trwają intensywne prace nad wydaniem kolejnej produktywnej wersji.

WordPress 3.3.2 dostępny jest już w kanale automatycznych aktualizacji, zaś najnowszą wersję beta można pobrać tutaj, przy czy zaznaczam, że wersja beta nie jest gotowa do działania w środowisku produktywnym ze względu na możliwość występowania różnego rodzaju błędów.

Mimo, że Chrome Mobile dla Androida wciąż jest w fazie beta, Google dodaje nowe funkcjonalności do swojej mobilnej przeglądarki. W ostatniej wersji dodano obsługę kolejnych języków, w efekcie czego przeglądarka ze stajni Google jest dostępna w 31 językach, z czego wszystkie wersje obsługują wtyczkę Flash.

Dodatkowo w nowej wersji pojawiły się następujące funkcjonalności:

• powrót do wersji desktopowej strony internetowej, jeżeli wersja mobilna nie spełnia naszych oczekiwań
• dodawanie zakładek jako skrótów na ekranie głównym
• wybór aplikacji, za pomocą których otwierane są linki w Chrome
• użycie Chrome przez WIFI z proxy skonfigurowanym w ustawieniach systemu Android

Użytkownicy Ice Cream Sandwich, którzy mają dostęp do Google Play, mają również dostęp do najnowszej wersji Chrome Mobile.

Twórcy oprogramowania Samba, umożliwiającego udostępnianie plików i drukarek w systemach Linux, Windows oraz Mac OS X, udostępnili we wtorek łatę bezpieczeństwa eliminującego lukę pozwalającą na wykonanie dowolnego kodu na systemach, gdzie usługa Samby jest uruchomiona.

Luka znajduje się w kodzie, który zajmuje się przetwarzaniem wniosków RPC (Remote Procedure Call), a konkretnie w module zajmującym się ich tłumaczeniem na format NDR.

Luka pozwala na wykonanie nieautoryzowanego kodu z uprawnieniami administratora z użyciem odpowiednio spreparowanego wywołania RPC. Specjaliści ze strony Samby powiedzieli, że ze względu na to, że luka pozwala na nieautoryzowany dostęp do systemu, jest to bardzo poważne zagrożenie i w związku z tym wszyscy użytkownicy Samby powinni niezwłocznie zaktualizować swoje oprogramowanie. Luka jest na tyle poważna, że wydawcy oprogramowania postanowili wydać łaty bezpieczeństwa również dla wersji serwera, które nie są już oficjalnie wspierane.

Główny specjalista bezpieczeństwa z firmy Secunia, pan Carsten Eiram ocenił podatność wykrytą w kodzie Samby jako umiarkowanie krytyczną, ponieważ z natury rzeczy oprogramowanie Samby wykorzystywane jest głownie w sieciach lokalnych. Niestety istnieje możliwość konfiguracji Samby do pracy w internecie i wówczas status luki wzrasta do wysoce krytycznego.

Samba jest instalowana domyślnie w większości dystrybucji Linuksa, jak również na serwerze Mac OS X firmy Apple. Jest ona również dostępna na sporej liczbie innych uniksopodobnych systemach. Poza tym Samba jest instalowana na wielu urządzeniach takich jak drukarki sieciowe lub urządzeniach masowej pamięci sieciowej. Taka rozpiętość zastosowania oprogramowania Samba sprawia, że jest to atrakcyjny cel dla cyberprzestępców.

Dwa dni temu Microsoft opublikował kwietniowe biuletyny zabezpieczeń dla swoich produktów. Tym razem mamy sześć biuletynów, z czego 4 zostały oznaczone jako krytyczne, a 2 jako ważne. Poniżej zamieszczam krótki opis każdej z poprawek.

MS12-023 (krytyczny) – dotyczy zbiorczej aktualizacji przeglądarki Internet Explorer eliminującej 5 luk w zabezpieczeniach, z których każda umożliwiała zdalne wykonanie kodu

MS12-024 (krytyczny) – dotyczy luki w zabezpieczeniach systemu Windows pozwalającej na zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku wykonywalnego

MS12-025 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework pozwalającej na zdalne wykonanie kodu  z wykorzystaniem odpowiednio spreparowanej strony internetowej uruchomionej w przeglądarce obsługującej aplikacje XAML

MS12-027 (krytyczny) – dotyczy luki w zabezpieczeniach formatów standardowych systemu Windows umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanej strony internetowej

MS12-026 (ważny) – dotyczy luki w zabezpieczeniach programu Forefront Inified Access Gateway (UAG) umożliwiającej ujawnienie informacji z wykorzystaniem specjalnie spreparowanej kwerendy wysłanej do serwera UAG

MS12-028 (ważny) – dotyczy luki w zabezpieczeniach pakietu Microsoft Office umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku pakietu Works.

Kwiecień przyniósł nam aktualizacje o wysokim priorytecie instalacji. Aż cztery z sześciu wydanych biuletynów eliminują podatności systemu na zdalne wykonanie kodu.

Microsoft opublikował informację o przesunięciu systemu Windows Vista oraz Office 2007 z głównego systemu wsparcia do systemu rozszerzonego. Office 2007 już w dniu dzisiejszym został odłączony od podstawowego wsparcia, a Vista opuści ten kanał jutro. Oznacza to ni mniej ni więcej, że poczynając od 10 kwietnia, Microsoft będzie publikował tylko i wyłącznie łaty bezpieczeństwa dla wszystkich użytkowników, a aktualizacje poprawiające stabilność będą dostępne dla organów, które mają podpisane odpowiednie umowy z firmą Microsoft.

Należy pamiętać, że kilka tygodni temu Microsoft podjął decyzję o skróceniu okresu wparcia technicznego w jego rozszerzonej wersji dla systemów konsumenckich (niekorporacyjnych) do 5 lat. Ma to przyspieszyć zainteresowanie klientów niekorporacyjnych nowymi systemami wydawanymi przez Microsoft. Tylko wersje biznesowe oprogramowania będą wspierane jak dotychczas, czyli przez 10 lat. Zgodnie z nowymi założeniami aktualizacje zabezpieczeń dla wspomnianego oprogramowania będą dostarczane do połowy kwietnia 2017 roku.

Ostatnia duża aktualizacja dla Windows Vista i Office 2007 miała miejsce odpowiednio w maju 2009 (Service Pack 2) oraz w październiku 2011 (Service Pack 3).

Czas wsparcia technicznego dla kolejnych edycji systemów, niezależnie od pochodzenia kiedyś musi dobiec końca. Wydawcy oprogramowania, aby zaspokoić oczekiwania klientów, muszą iść naprzód, a wspieranie starych wersji oprogramowania jest czynnikiem hamującym rozwój. Każdy z użytkowników, bez względu czy korzysta z produktu biznesowego, czy takiego kierowanego do użytkownika domowego prędzej czy później stanie przez decyzją o zmianie środowiska pracy na nowsze (oczywiście nie zawsze lepsze). O ile użytkownik prywatny nie ponosi zbyt wiele kosztów związanych ze zmianą systemu operacyjnego, czy pakietu biurowego, o tyle klient korporacyjny zawsze będzie ponosił wysokie koszty finansowe zmian związanych po pierwsze z zakupem często nowego sprzętu, który pozwoli na uruchomienie nowego środowiska, ale przede wszystkim z kosztami poniesionymi na szkolenie pracowników. Z drugiej strony firmy, które nie mają w zwyczaju inwestować w kapitał ludzki, prędzej czy później zrozumieją, że czas zmienić te zwyczaje.

W czwartek Google opublikowało aktualizację swojej przeglądarki, w której wyeliminowano przede wszystkim 12 luk w zabezpieczeniach. 7 z poprawionych błędów otrzymało priorytet wysoki , 4  otrzymały priorytet średni a 1 – niski.

Część z luk odkryli badacze nie związani bezpośrednio z Google i w zamian za pracę włożoną w Google Chrome otrzymali premie finansowe. W ogólnym bilansie, Google w tym roku wypłaciło 216 tyś. dolarów premii za znalezienie błędów w swojej przeglądarce, a znaczna część tej puli została wypłacona podczas marcowego konkursu hakerów Pwn2Own.

Poza aktualizacjami związanymi z bezpieczeństwem Chrome, dodano również do wersji oznaczonej numerem 18 nową wersję Adobe Flash Player, w której wyeliminowano dwa błędy krytyczne umożliwiające uszkodzenie pamięci z wykorzystaniem interfejsu Chrome.

Poprawiono również kilka problemów związanych z akceleracją sprzętową dodaną do przeglądarki pod koniec marca tego roku.

Minął dzień od doniesień na temat luki w Javie umożliwiającej rozprzestrzenianie się konia trojańskiego o nazwie Flashback.K, a Apple opublikował na swoich serwerach łatę bezpieczeństwa eliminującą nie tylko ten problem, ale również kilka innych zagrożeń.

Aktualizacje, które są dostępne dla Mac OS X 10.6.8 Snow Leopard oraz dla Mac OS X 10.7.3 Lion (włączając w to również edycje serwerowe) nie tylko eliminują możliwość instalowania konia trojańskiego bez potrzeby podania hasła administratora, ale również podatności na uruchomienie destrukcyjnego kodu z ominięciem mechanizmu sandbox Javy za pośrednictwem odpowiednio spreparowanej strony internetowej.

Dla przypomnienia, załatana wersja Javy, która eliminowała te problemy została opublikowana w lutym dla systemów Windows, ale za względu na odrębny harmonogram publikacji poprawek dla komputerów Mac (harmonogram wprowadzony przez Apple), użytkownicy tego systemu byli narażeni na ataki miesiąc dłużej.