markasblog

W dniu wczorajszym Apple wydał aktualizacje, które w sumie łatają 36 błędów w zabezpieczeniach systemu Mac OS X. Załatane zostały systemy w wersjach 10.7 (Lion) oraz 10.6 (Snow Leopard). Jedną z ważniejszych i  mocno oczekiwanych przez użytkowników jest poprawka wydana dla funkcji FileVault wbudowanej w system Lion. Problem dotyczył haseł przechowywanych w postaci zwykłego tekstu.

Cztery z poprawek dotyczyły tylko i wyłącznie systemu Snow Leopard i podatności na ataki z wykorzystaniem odpowiednio spreparowanych plików graficznych. Kolejne cztery poprawki wydane zostały dla odtwarzacza multimedialnego QuickTime  oraz jedna dla funkcji FileVault2 zaimplementowanej w systemie Mac OS X 10.7 Lion eliminującej problem z nieszyfrowaniem danych w momencie przechodzenia komputera w stan „uśpienia”.

21 z 36 poprawek eliminuje podatności na wykonanie dowolnego kodu i zostały oznaczone jako krytyczne ponieważ mogą doprowadzić do infekcji złośliwym oprogramowaniem.

Osiem z poprawek dotyczy tylko i wyłącznie systemu Mac OS X 10.6 Snow Leopard.

Lion doczekał się również szeregu poprawek związanych ze stabilnością oraz kompatybilnością. Poprawiono współpracę z usługami serwera SMB oraz Microsoft Active Directory.

Obecna seria aktualizacji może okazać się ostatnią dla systemu Mac OS X 10.6 Snow Leopard, bowiem według polityki Apple wydanie nowej wersji systemu, a takowe ma nastąpić już w czerwcu w postaci Mac OS X 10.8 Mountain Lion, skutkuje wstrzymaniem wsparcia w postaci wydania poprawek bezpieczeństwa dla najstarszej obecnie wspieranej wersji systemu Mac OS X.

Aktualizacje można instalować za pośrednictwem witryny pomocy technicznej Apple lub za pomocą wbudowanego w system mechanizmu aktualizacji.

Wczoraj mieliśmy drugi wtorek miesiąca, a więc Microsoft zgodnie ze swoim harmonogramem wydał kolejne biuletyny zabezpieczeń. W sumie jest ich 7, z czego 3 zostały oznaczone jako krytyczne, a cztery jako ważne. 5 z biuletynów rozwiązuje problem z możliwością zdalnego wykonania kodu, a 2 pozostałe eliminują problem z możliwością podniesienia uprawnień. Poniżej krótki opis każdego z biuletynów.

MS12-029 (krytyczny) – dotyczy luki w zabezpieczeniach programu Microsoft Word umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku RTF.

MS12-034 (krytyczny) – dotyczy zbiorczej aktualizacji zabezpieczeń dla pakietu Microsoft Office, systemu Windows, systemu .NET Framework i programu Silverlight; buletyn eliminuje 3 luki w zabezpieczeniach, z których każda pozwala na zdalne wykonanie kodu z użyciem odpowiednio spreparowanego dokumentu lub złośliwej strony internetowej zawierającej osadzone pliki czcionek TrueType.

MS12-035 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework umożliwiającej zdalne wykonanie kodu z wykorzystaniem specjalnie spreparowanej strony internetowej uruchomionej w przeglądarce obsługującej aplikacje XAML (XBAP).

MS12-030 (ważny) – dotyczy luki w zabezpieczeniach pakietu Microsoft Office umożliwiającej zdalne wykonanie kodu z użyciem specjalnie spreparowanego pliku pakietu Office.

MS12-031 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft Visio Viewer 2010 umożliwiającej zdalne wykonanie kodu z użyciem specjalnie spreparowanego pliku programu Visio.

MS12-032 (ważny) – dotyczy luki w zabezpieczeniach stosu TCP/IP umożliwiającej podniesienie uprawnień z użyciem specjalnie spreparowanej aplikacji uruchomionej przez użytkownika zalogowanego do systemu.

MS12-033 (ważny) – dotyczy luki w zabezpieczeniach Menedżera partycji systemu Windows umożliwiającej podniesienie uprawnień dzięki odpowiednio spreparowanej aplikacji uruchomionej przez osobę posiadającą prawidłowe poświadczenia logowania oraz mającą możliwość zalogowania się do systemu lokalnie.

W piątek na blogu WordPress pojawiła się informacja o wydaniu wersji 3.3.2 tej platformy blogowej, w której wyeliminowano kilka problemów z bezpieczeństwem. W ramach wersji 3.3.2 aktualizacje otrzymały 3 zewnętrzne biblioteki zawarte w WordPress:

• Plupload (1.5.4) używana przez WordPress do przesyłania plików
• SWFUpload używana przez WordPress do przesyłania mediów; wcześniej biblioteka mogła być również używana przez wtyczki
• SWFObject używa przez WordPress do osadzania zawartości Flash; wcześniej biblioteka mogła być również używana przez wtyczki i motywy

Ponadto, aktualizacja bezpieczeństwa rozwiązuje również problem z ograniczonym rozszerzeniem uprawnień związanym z dostępem do sieci wtyczek. Wyeliminowane zostały również dwie luki cross-site scripting. Pierwsza z nich jest związana z tworzeniem klikalnych adresów URL, a  druga dotyczy przekierowań po zamieszczeniu komentarzy w starszych przeglądarkach oraz filtrowania URLi.

Najnowsza aktualizacja bezpieczeństwa została również zaimplementowana w WordPress 3.4 Beta 3. Po zmianach wniesionych przez 9 dni od wydania drugiej bety widać, że trwają intensywne prace nad wydaniem kolejnej produktywnej wersji.

WordPress 3.3.2 dostępny jest już w kanale automatycznych aktualizacji, zaś najnowszą wersję beta można pobrać tutaj, przy czy zaznaczam, że wersja beta nie jest gotowa do działania w środowisku produktywnym ze względu na możliwość występowania różnego rodzaju błędów.

Mimo, że Chrome Mobile dla Androida wciąż jest w fazie beta, Google dodaje nowe funkcjonalności do swojej mobilnej przeglądarki. W ostatniej wersji dodano obsługę kolejnych języków, w efekcie czego przeglądarka ze stajni Google jest dostępna w 31 językach, z czego wszystkie wersje obsługują wtyczkę Flash.

Dodatkowo w nowej wersji pojawiły się następujące funkcjonalności:

• powrót do wersji desktopowej strony internetowej, jeżeli wersja mobilna nie spełnia naszych oczekiwań
• dodawanie zakładek jako skrótów na ekranie głównym
• wybór aplikacji, za pomocą których otwierane są linki w Chrome
• użycie Chrome przez WIFI z proxy skonfigurowanym w ustawieniach systemu Android

Użytkownicy Ice Cream Sandwich, którzy mają dostęp do Google Play, mają również dostęp do najnowszej wersji Chrome Mobile.

Twórcy oprogramowania Samba, umożliwiającego udostępnianie plików i drukarek w systemach Linux, Windows oraz Mac OS X, udostępnili we wtorek łatę bezpieczeństwa eliminującego lukę pozwalającą na wykonanie dowolnego kodu na systemach, gdzie usługa Samby jest uruchomiona.

Luka znajduje się w kodzie, który zajmuje się przetwarzaniem wniosków RPC (Remote Procedure Call), a konkretnie w module zajmującym się ich tłumaczeniem na format NDR.

Luka pozwala na wykonanie nieautoryzowanego kodu z uprawnieniami administratora z użyciem odpowiednio spreparowanego wywołania RPC. Specjaliści ze strony Samby powiedzieli, że ze względu na to, że luka pozwala na nieautoryzowany dostęp do systemu, jest to bardzo poważne zagrożenie i w związku z tym wszyscy użytkownicy Samby powinni niezwłocznie zaktualizować swoje oprogramowanie. Luka jest na tyle poważna, że wydawcy oprogramowania postanowili wydać łaty bezpieczeństwa również dla wersji serwera, które nie są już oficjalnie wspierane.

Główny specjalista bezpieczeństwa z firmy Secunia, pan Carsten Eiram ocenił podatność wykrytą w kodzie Samby jako umiarkowanie krytyczną, ponieważ z natury rzeczy oprogramowanie Samby wykorzystywane jest głownie w sieciach lokalnych. Niestety istnieje możliwość konfiguracji Samby do pracy w internecie i wówczas status luki wzrasta do wysoce krytycznego.

Samba jest instalowana domyślnie w większości dystrybucji Linuksa, jak również na serwerze Mac OS X firmy Apple. Jest ona również dostępna na sporej liczbie innych uniksopodobnych systemach. Poza tym Samba jest instalowana na wielu urządzeniach takich jak drukarki sieciowe lub urządzeniach masowej pamięci sieciowej. Taka rozpiętość zastosowania oprogramowania Samba sprawia, że jest to atrakcyjny cel dla cyberprzestępców.

Dwa dni temu Microsoft opublikował kwietniowe biuletyny zabezpieczeń dla swoich produktów. Tym razem mamy sześć biuletynów, z czego 4 zostały oznaczone jako krytyczne, a 2 jako ważne. Poniżej zamieszczam krótki opis każdej z poprawek.

MS12-023 (krytyczny) – dotyczy zbiorczej aktualizacji przeglądarki Internet Explorer eliminującej 5 luk w zabezpieczeniach, z których każda umożliwiała zdalne wykonanie kodu

MS12-024 (krytyczny) – dotyczy luki w zabezpieczeniach systemu Windows pozwalającej na zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku wykonywalnego

MS12-025 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework pozwalającej na zdalne wykonanie kodu  z wykorzystaniem odpowiednio spreparowanej strony internetowej uruchomionej w przeglądarce obsługującej aplikacje XAML

MS12-027 (krytyczny) – dotyczy luki w zabezpieczeniach formatów standardowych systemu Windows umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanej strony internetowej

MS12-026 (ważny) – dotyczy luki w zabezpieczeniach programu Forefront Inified Access Gateway (UAG) umożliwiającej ujawnienie informacji z wykorzystaniem specjalnie spreparowanej kwerendy wysłanej do serwera UAG

MS12-028 (ważny) – dotyczy luki w zabezpieczeniach pakietu Microsoft Office umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku pakietu Works.

Kwiecień przyniósł nam aktualizacje o wysokim priorytecie instalacji. Aż cztery z sześciu wydanych biuletynów eliminują podatności systemu na zdalne wykonanie kodu.

W czwartek Google opublikowało aktualizację swojej przeglądarki, w której wyeliminowano przede wszystkim 12 luk w zabezpieczeniach. 7 z poprawionych błędów otrzymało priorytet wysoki , 4  otrzymały priorytet średni a 1 – niski.

Część z luk odkryli badacze nie związani bezpośrednio z Google i w zamian za pracę włożoną w Google Chrome otrzymali premie finansowe. W ogólnym bilansie, Google w tym roku wypłaciło 216 tyś. dolarów premii za znalezienie błędów w swojej przeglądarce, a znaczna część tej puli została wypłacona podczas marcowego konkursu hakerów Pwn2Own.

Poza aktualizacjami związanymi z bezpieczeństwem Chrome, dodano również do wersji oznaczonej numerem 18 nową wersję Adobe Flash Player, w której wyeliminowano dwa błędy krytyczne umożliwiające uszkodzenie pamięci z wykorzystaniem interfejsu Chrome.

Poprawiono również kilka problemów związanych z akceleracją sprzętową dodaną do przeglądarki pod koniec marca tego roku.

Adobe w dniu dzisiejszym opublikował najnowszą wersję Flash Playera oznaczoną numerem 11.2. Nowa wersja to między innymi większe bezpieczeństwo, ponieważ wyeliminowane zostały dwie luki w zabezpieczeniach z których każda umożliwiała uszkodzenie pamięci, a w efekcie wykonanie zdalnie dowolnego kodu. W rankingu Adobe obie luki klasyfikowały się na drugi poziom ważności w 3-stopniowej skali zagrożenia. Problem dotyczy Adobe Flash Playera 11.1.102.63 i wersji wcześniejszych dla systemów Windows, Macintosh, Linux i Solaris oraz wersji 11.1.111.7 i wcześniejszych dla systemu Android 3.x i 2.x.

Najnowsza wersja wprowadza również nową funkcję cichych aktualizacji. Opcja ta staje się dostępna po zainstalowaniu najnowszej wersji oprogramowania i odpowiednim skonfigurowaniu opcji. Nowa wersja dopuszcza trzy sposoby aktualizacji:

• automatyczna aktualizacja w tle bez żadnej interakcji z użytkownikiem
• powiadomienie o dostępnych aktualizacjach bez ich instalacji
• nie sprawdzanie dostępności aktualizacji

Mechanizm cichej aktualizacji będzie co godzinę, aż do skutku (do momentu pojawienia się odpowiedzi ze strony serwera Adobe) próbował połączyć się z serwerem w celu sprawdzenia dostępności aktualizacji. Jeżeli aktualizacje nie są dostępne kolejna próba aktualizacji nastąpi po 24 godzinach.

Wraz z głównym programem, aktualizowane będą również wtyczki zainstalowane w przeglądarkach internetowych. Wyjątkiem tutaj będzie Internet Explorer 6, którego wsparcie jest już masowo porzucane przez producentów oprogramowania. Od wersji 11.2 Flash Player zgodnie z informacją przekazaną przez Peleusa Uhleya będącego strategiem bezpieczeństwa w firmie Adobe, IE6 nie będzie już wspierane.

Adobe zaznacza, że pomimo zgody na ciche aktualizacje, nie wszystkie pakiety będą instalowane bez wiedzy użytkownika. Te aktualizacje, które będą zmieniać ustawienia domyślne odtwarzacza Flash, będą wymagały zgody użytkownika.

W tym momencie ciche aktualizacje działają tylko na systemie Windows, ale Adobe zapowiada szybkie wydanie wersji dla pozostałych obsługiwanych systemów.

Peleus Uhley zaznacza, że nowa funkcja to bardzo duży krok naprzód w walce z cyberprzestępcami, ponieważ można za pomocą cichych aktualizacji dużo szybciej łatać wykryte w produkcie luki zero-day.  To również większy komfort dla samych użytkowników, którzy nie będą już musieli pamiętać o aktualizacji Flasha.

Adobe ostatnimi czasy bardzo mocno popracował nad bezpieczeństwem Flash Playera. Częstsze, zgodnie z harmonogramem przeprowadzane aktualizacje, przejrzysta skala według której klasyfikowane są zagrożenia a teraz automatyczne ciche aktualizacje pokazują, że wszędzie kryje się potencjał, który dobrze wykorzystany może okazać się bardzo cennym wkładem w wizerunek nie tylko samego produktu, ale całej firmy.

Marzec, drugi wtorek miesiąca już za nami, więc pewnie już zaktualizowaliście swoje systemy o marcowe biuletyny zabezpieczeń od Microsoftu. W tym miesiącu biuletynów jest 6, z czego jeden został oznaczony jako krytyczny, 5 jako ważne, a jeden jako umiarkowany. Wszystkie biuletyny usuwają w sumie 7 luk w zabezpieczeniach systemów Windows. Poniżej skrócony opis każdego z biuletynów

MS12-020 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach pulpitu zdalnego umożliwiających zdalne wykonanie kodu dzięki specjalnie spreparowanym pakietom RDP (Remote Desktop Protocol)

MS12-017 (ważny) – dotyczy luki w zabezpieczeniach serwera DNS umożliwiającej przeprowadzenie ataku DoS z użyciem odpowiednio spreparowanej kwerendy DNS

MS12-018 (ważny) – dotyczy luki w zabezpieczeniach sterowników trybu jądra systemu Windows umożliwiającej podniesienie uprawnień dzięki specjalnie spreparowanej aplikacji (osoba atakująca musi być w stanie zalogować lokalnie na atakowanej maszynie)

MS12-021 (ważny) – dotyczy luki w zabezpieczeniach programu Visual Studio umożliwiającej podniesienie uprawnień dzięki specjalnie przygotowanemu dodatkowi (osoba atakująca musi być w stanie zalogować lokalnie na atakowanej maszynie)

MS12-022 (ważny) – dotyczy luki w zabezpieczeniach programu Expression Design umożliwiającej zdalne wykonanie kodu dzięki odpowiednio spreparowanemu plikowi, który z kolei mógłby próbować załadować bibliotekę DLL, w której może znajdować się odpowiednio spreparowany kod.

MS12-019 (umiarkowany) – dotyczy luki w zabezpieczeniach programu DirectWrite umożliwiającej przeprowadzenie ataku typu DoS dzięki specjalnie spreparowanej wiadomości błyskawicznej, w której znajdzie się odpowiednia sekwencja znaków Unicode.

Po więcej szczegółów odsyłam do źródła.

Adobe w dniu wczorajszym opublikował informację o wydaniu łaty bezpieczeństwa dla Flasha. Jest to druga akcja łatania Flasha w tym roku, a od pierwszej akcji minęło niespełna 3 tygodnie. Najnowsze poprawki bezpieczeństwa eliminują 2 luki w zabezpieczeniach, z których każda może potencjalnie umożliwić przejęcie kontroli nad systemem. Jeden z błędów wykorzystywał klasę Matrix3D należącą do ActionScript i mógł doprowadzić do wykonania dowolnego kodu lub wycieku pamięci. Drugi błąd, w niektórych wersjach Flasha dotyczył niepopranej obsługi liczb całkowitych i mógł zostać użyty do przechwycenia poufnych informacji. Według Adobe błędy, które zostały wyeliminowane przez najnowszą poprawkę nie były jeszcze wykorzystywane przez napastników i dlatego też priorytet ważności tej aktualizacji został określony na 2 w trzystopniowej skali.

Skala ważności poprawek jest stosunkowo młodym tworem w Adobe. Pomaga ona określić ważność danej poprawki. I tak:

• Priorytet 1 to poprawki bezpieczeństwa o najwyższej ważności, które powinny być instalowane przez domowych użytkowników niezwłocznie po publikacji i w przeciągu 72 godzin po publikacji przez przedsiębiorstwa
• Priorytet 2 to poprawki bezpieczeństwa o średniej ważności, które powinny być instalowane najpóźniej 30 dni po publikacji aktualizacji; dotyczą luk w zabezpieczeniach, które są potencjalnie niebezpieczne.
• Priorytet 3 to poprawki bezpieczeństwa o najniższej ważności, które można, ale nie trzeba instalować, ponieważ dotyczą luk w zabezpieczeniach, które nigdy wcześniej nie zostały wykorzystane do ataku.

Przedstawiciele Adobe przyznają, że nowy system oznaczania ważności poprawek bezpieczeństwa jest wzorowany na tym Microsoftu. Ma to na celu wprowadzenie większej systematyczności w wydania aktualizacji. Nie wyklucza się także, że poprawki dla produktów Adobe będą wydawane cyklicznie na wzór biuletynów Microsoftu.

Zaktualizowaną wersję Flash Playera dla systemów Windows, Linuks, Mac oraz Solaris można pobrać tutaj. Wersję dla Androida można pobrać z Android Market.

Najnowsza wersja przeglądarki Google Chrome ma już zaimplementowaną najnowszą wersję produktu Adobe.