Skocz do zawartości
Forum Kopalni Wiedzy

Znajdź zawartość

Wyświetlanie wyników dla tagów 'luka' .



Więcej opcji wyszukiwania

  • Wyszukaj za pomocą tagów

    Wpisz tagi, oddzielając je przecinkami.
  • Wyszukaj przy użyciu nazwy użytkownika

Typ zawartości


Forum

  • Nasza społeczność
    • Sprawy administracyjne i inne
    • Luźne gatki
  • Komentarze do wiadomości
    • Medycyna
    • Technologia
    • Psychologia
    • Zdrowie i uroda
    • Bezpieczeństwo IT
    • Nauki przyrodnicze
    • Astronomia i fizyka
    • Humanistyka
    • Ciekawostki
  • Artykuły
    • Artykuły
  • Inne
    • Wywiady
    • Książki

Szukaj wyników w...

Znajdź wyniki, które zawierają...


Data utworzenia

  • Od tej daty

    Do tej daty


Ostatnia aktualizacja

  • Od tej daty

    Do tej daty


Filtruj po ilości...

Dołączył

  • Od tej daty

    Do tej daty


Grupa podstawowa


Adres URL


Skype


ICQ


Jabber


MSN


AIM


Yahoo


Lokalizacja


Zainteresowania

Znaleziono 53 wyników

  1. Microsoft prowadzi śledztwo mające wyjaśnić, jak prototypowy kod atakujący niebezpieczną dziurę w Windows trafił do rąk cyberprzestępców. Microsoft przed tygodniem wydał kolejny comiesięczny zestaw poprawek w ramach Patch Tueday. Znalazła się w nim łata na poważną dziurę w Remote Desktop Protocol, która pozwala przestępcom na przejęcie kontroli nad systemem. Wcześniej w ramach Microsoft Active Protection Program (MAPP) koncern z Redmond dostarczył firmom antywirusowym prototypowy kod atakujący dziurę. Microsoft standardowo przekazuje 79 wybranym firmom antywirusowym szczegóły techniczne dziur jeszcze zanim je załata. Dzięki temu firmy mogą szybko przygotować oprogramowanie zabezpieczające. Pojawienie się łat jest bowiem dla cyberprzestępców okazją do wykonania na nich inżynierii wstecznej i poznanie dzięki temu szczegółów załatanych dziur. Czasami potrafią oni przygotować szkodliwy kod w ciągu kilku godzin od opublikowania przez Microsoft poprawek. Tym razem jednak przygotowany kod przygotowany w Redmond na potrzeby firm antywirusowych wyciekł do internetu. Co więcej, trafił tam nie tylko kod Microsftu. Znany specjalista ds. bezpieczeństwa, Luigi Auriemma, który w maju 2011 roku odkrył wspomnianą dziurę, poinformował o niej Zero Day Initiative (ZDI) i dostarczył prototypowy kod, poinformował, że tego samego dnia, gdy wyciekł kod Microsoftu, on znalazł swój prototypowy kod na jednej z chińskich witryn. Auriemma twierdzi, że odkryty przezeń program zawierał znaki „MSRC11678„ co wskazuje, że do wycieku doszło w Microsofcie, a nie w ZDI. Kod Auriemmy został przekazany Microsoftowi przez ZDI w sierpniu 2011 roku w celu wykonania szczegółowych analiz. Na szczęście prototypy, które przedostały się do internetu, nie pozwalają na zdalne przejęcie kontroli nad komputerem. Umożliwiają jednak spowodowanie awarii systemu. Jak mówią przedstawiciele ZDI, Microsoft zgadza się z wnioskiem, że to nie ZDI jest źródłem przecieku. Na razie nie wiadomo, czy kod upublicznił ktoś z Microsoft czy też z firm antywirusowych.
  2. Jak informują przedstawiciele należącej do HP Zero-Day Initiative (ZDI), IBM, HP i i Microsoft są tymi producentami oprogramowania, którzy mają najgorsze wyniki w łataniu dziur typu zero-day, czyli niezałatanych dziur aktywnie wykorzystywanych przez przestępców. W bieżącym roku ZDI upubliczniła dane o 29 wciąż niezałatanych lukach typu zero-day, o których istnieniu informowano producentów oprogramowania pół roku wcześniej. W programach IBM-a było 10 takich dziur, w oprogramowaniu HP znaleziono ich sześć, a w programach Microsoftu - pięć. TippingPoint, wydział HP prowadzący ZDI, jest znany z organizowania hakerskich zawodów Pwn2Own. Kupuje on informacje o lukach od niezależnych badaczy i informuje o nich producentów dziurawego oprogramowania. HP wykorzystuje tak uzyskane informacje do udoskonalania swoich programów zabezpieczających. W ubiegłym roku TippingPoint poinformował, że jeśli producent nie załata oprogramowania w ciągu pół roku po otrzymaniu informacji, ujawni ograniczoną ilość danych o dziurze. Osoby pracujące przy ZDI twierdzą, że takie działanie wywiera pewien pozytywny nacisk na producentów. Po raz pierwszy informacje takie ujawniono 7 lutego 2011 roku, a już w kwietniu Microsoft załatał wszystkie pięć luk w MS Office, o których został poinformowany w połowie 2010 roku. Nie wszyscy reagują jednak tak samo. IBM i HP wciąż nie załatały swoich 16 dziur, mimo, że o istnieniu niektórych wiedzą od trzech lat.
  3. Microsoft potwierdził, że nowy niebezpieczny robak Duqu wykorzystuje nieznaną dotychczas dziurę w jądrze Windows. Niektórzy eksperci sądzą, że Duqu jest dziełem twórców Stuxneta. Dziurę w jądrze wykryła przed kilkoma dniami węgierska firma CrySyS, która analizowała instalator Duqu. Szkodliwy kod rozprzestrzenia się w jako odpowiednio spreparowany plik Worda. Specjaliści odkryli, że przynajmniej w jednym przypadku Duqu dokonał infekcji poprzez współdzielone w sieci wewnętrznej zasoby, zarażając maszynę, która nie miała bezpośredniego połączenia z internetem. Dotychczas Duqu był używany prawdopodobnie tylko przez osiem dni w sierpniu i tylko podczas precyzyjnych ataków. Zdaniem firmy Symantec ich ofiarami padło sześć firm działających we Francji, Holandii, Szwajcarii, na Ukrainie, w Indiach, Iranie, Sudanie i Wietnamie. Pojawiły się też informacje o infekcjach w Wielkiej Brytanii, Austrii i Indonezji. Wiadomo, że jednym z zadań Duqu jest szpiegowanie producentów przemysłowych systemów kontroli. To budzi podejrzenia, że zdobyte w ten sposób informacje zostaną użyte podczas kolejnych ataków. Ekspertom udało się zidentyfikować i wyłączyć jeden z serwerów kontrolujących Duqu. Maszyna znajdowała się w Belgii. Microsoft pracuje nad poprawką łatającą dziurę, którą wykorzystuje Duqu.
  4. Badacze z Ruhr-Universität Bochum twierdzą, że specyfikacja XML Encryption, która definiuje sposób szyfrowania elementów w komunikacji między usługami sieciowymi, jest podatna na atak. XML Encryption wykorzystują m.in. tacy giganci jak IBM, Microsoft czy Red Hat. Juraj Smorovsky i Tibor Jager znaleźli sposób na przeprowadzenie ataku na komunikację szyfrowaną za pomocą DES i AES w trybie wiązania bloków zaszyfrowanych (CBC). Obaj uczeni informują, że na atak podatne są wszystkie algorytmy szyfrujące wykorzystywane w standarcie XML-Enc. Atak polega na wysłaniu do serwera zmodyfikowanego kryptogramu, a następnie przeanalizowaniu występujących błędów. Takiej techniki użyli w bieżącym roku Juliano Rizzo i Thai Duong do przeprowadzenia ataku na ASP.NET, co zapewniło im nagrodę Pwn2Own dla znalazców najlepszego błędu po stronie serwera. Niedawno pokazali, że można w ten sposób zaatakować również protokół SSL/TLS. Niemieccy badacze zawiadomili już o problemie konsorcjum W3C, które jest autorem standardu XML-Enc. Rzecznik prasowy Microsoftu stwierdził, że koncern również został poinformowany. Sprawdzamy nasze produkty, by sprawdzić, które z nich używają tej implementacji - dodał. Na razie firma nie wydała żadnych zaleceń. Tam, gdzie będzie to konieczne, przekażemy instrukcje dotyczące microsofowej implementacji XML-a - stwierdził rzecznik. Odkrywcy luki twierdzą, że nie da się jej łatwo naprawić i konieczna będzie zmiana standardu.
  5. Autorzy Microsoft Security Intelligence Report Volume 11 stwierdzają, że dziury typu zero-day, czyli luki, które przestępcy wykorzystują, a na które nie ma jeszcze łat, nie stanowią większego zagrożenia. W pierwszej połowie 2011 roku mniej niż 1% infekcji zostało dokonanych dzięki tego typu lukom. Znacznie groźniejsze są, zdaniem Microsoftu, luki dla których producenci oprogramowania wydali łaty, ale użytkownicy ich nie zainstalowali. Największe zagrożenie dla naszych komputerów stanowi Java. Dziury w Javie były odpowiedzialne za od 33 do 50% infekcji w ciągu ostatnich czterech kwartałów - czytamy w raporcie. Przestępcy atakują Java Runtime Environment, Java Virtual Machine oraz Java SE. Oczywiście dla zdecydowanej większość atakowanych dziur łaty istnieją od dawna, ale użytkownicy ich nie instalują. Popularność Javy wśród przestępców wynika w dużej mierze z faktu, że jest to jedna z niewielu technologii, które działają niemal na każdej przeglądarce i każdym systemie operacyjnym. Najnowszy raport Microsoftu przynosi te same wnioski co poprzednie - niemal wszystkich infekcji udałoby się uniknąć, gdyby użytkownicy stosowali najnowsze dostępne wersje programów lub gdyby nie dawali się nabierać cyberprzestępcom i nie klikali na odnośniki prowadzące do złośliwych witryn. Nowsze jest lepsze i nie mówię tutaj tylko o produktach Microsoftu. Producenci smartfonów pracują nad nowymi technikami zabezpieczeń, takimi jak ASLR. Jeśli więc używasz 10-letniego oprogramowania, to najwyższy czas, by pomyśleć o przejściu na nowszy produkt - powiedział Jeff Jones, dyrektor Microsoft Trustworthy Computing, robiąc wyraźną aluzję do Windows XP i Windows 7. Jednak twarde dane pokazują, że słowa te są prawdziwe. Z informacji Microsoftu wynika bowiem, że zarażonych jest 10,9% komputerów z systemem Windows XP SP3. Odsetek infekcji wśród użytkowników 32-bitowej Visty SP2 wynosi 5,7%, by spaść do 4% w przypadku komputerów z 32-bitowym Windows 7 oraz do zaledwie 1,8% dla maszyn z 32-bitowym Windows 7 SP1. Systemy 64-bitowe jeszcze rzadziej padają ofiarami infekcji. Drugim po Javie najbardziej popularnym celem ataków był system Windows. W drugim kwartale bieżącego roku liczba zainfekowanych systemów wzrosła. Za cały ten wzrost odpowiadają infekcje robakiem Stuxnet, który zaraził komputery poprzez dziurę w Windows Shell. Dziura ta, podobnie jak inne wykorzystywane przez Stuxneta, została załatana w sierpniu 2010 roku. Kolejnymi największymi źródłami infekcji były przeglądarki, które zarażano przez HTML i JavaScript. Następne na liście znalazły się programy do odczytywania dokumentów, takie jak MS Office, za którymi uplasował się Adobe Flash. Należy przy tym zwrócić uwagę, że swoje raporty koncern opiera na tych atakach, które są wykrywane przez jego oprogramowanie zabezpieczające. Jeśli zatem atak nie został wykryty, nie uwzględniono go w statystykach raportu. Dane do raportu zebrano z 600 milionów komputerów pracujących w ponad 100 krajach.
  6. Znany włoski specjalista ds. bezpieczeństwa, Luigi Auriemma, znalazł 14 nowych dziur w systemach SCADA. Podatne na ataki są produkty Beckhoffa, MeasureSoftu, Rockwella, Carela, Progei, AzeoTecha oraz Cogenta. Oprogramowanie tych firm wykorzystywane jest m.in. w przemyśle lotniczym, kosmicznym i zbrojeniowym. Auriemma już w marcu bieżącego roku ujawnił 34 dziury zero-day w systemach SCADA. Ekspert krytykowany jest za to, że szybko ujawnia informacje o dziurach. Ja jedynie znajduję je i upubliczniam informacje tak szybko, jak to możliwe. I pamiętajcie - ja znajduję dziury, nie tworzę do nich złośliwego kodu. To developerzy są odpowiedzialni (oczywiście pośrednio), za jego powstawanie - czytamy na witrynie Auriemmy. W ubiegłym roku o systemach SCADA stało się głośno, dzięki odkryciu atakującego je robaka Stuxnet. Do dzisiaj nie wiadomo, kto jest jego autorem.
  7. Podczas konferencji DefCon wystąpiła... 10-letnia dziewczynka, która odkryła nową klasę dziur w grach dla urządzeń przenośnych. Niebezpieczne błędy występują w grach pozwalających wcielić się w rolę farmera. CyFi, bo taki pseudonim przybrała dziewczynka, znudzona tym, że w grach tego typu często trzeba czekać całymi godzinami aż rozpocznie się zbiory wirtualnych warzyw i owoców, postanowiła przyspieszyć cały proces i pomanipulować zegarem urządzenia, na którym grała. Co prawda wielu producentów gier wprowadza zabezpieczenia, które mają uniemożliwić przyspieszanie plonów poprzez zmianę czasu zegara systemowego, jednak CyFi znalazła na to sposób. Wystarczyło odłączyć urządzenie od sieci Wi-Fi i przesunąć nieco zegar, by nasz wirtualny bohater mógł cieszyć się dojrzałymi plonami. Przy okazji CyFi zauważyła, że urządzenie jest w takim wypadku narażone na atak, gdyż znajduje się w stanie, którego nie przewidzieli i nie przetestowali twórcy gier. Odkrycie CyFi zostało już zweryfikowane i potwierdzone przez niezależnych ekspertów ds. bezpieczeństwa. Dziurę znaleziono w grach dla mobilnych systemów Apple'a i dla Androida. Nie podano tytułów wadliwych gier. CyFi występiła podczas DefCon Kids, pierwszej konferencji skierowanej do najmłodszych, którzy interesują się bezpieczeństwem sprzętu i oprogramowania.
  8. Niezależnie od siebie dwaj badacze, Will Dorman z Carnegie Mellon University oraz Dan Kaminsky, przeprowadzili testy porównujące liczbę dziur w pakietach MS Office oraz Open Office. Ich prace wykazały, że w ciągu ostatnich lat liczba luk w obu pakietach spadła, jednak w przypadku produktu Microsoftu spadek był tak olbrzymi, iż znajduje się w nim mniej dziur niż w Open Office. Obaj specjaliści użyli automatycznych narzędzi do stworzenia tysięcy wadliwych plików .doc i za pomocą tych plików przebadali bezpieczeństwo pakietów, a dane sprawdzili za pomocą microsoftowego narzędzia Iexploitable Crash Analyzer. Następnie policzyli liczbę awarii oraz sprawdzili znalezione przez Crash Analyzera luki. Pod uwagę brano tylko te dziury, które można było na pewno lub prawdopodobnie wykorzystać do ataku na komputer użytkownika. Dormann wziął pod uwagę MS Office XP, 2003, 2007 i 2010 oraz OpenOffice 3.2.1 i 3.30 RC7. Zauważył ciągły spadek liczby dziur w produktach Microsoftu i stwierdził, że pomiędzy pierwszą a ostatnią z branych pod uwagę wersji liczba dziur dających okazję do ataku spadła z 7 do 0. Tymczasem pomiędzy obiema wspomnianymi edycjami OO liczba dziur pozwalających na atak zmniejszyła się z 18 do 15. Wyniki uzyskane przez Kaminsky'ego wskazują na jeszcze większą redukcję liczby luk. Jego zdaniem Office 2003 zawierał 127 luk które można było potencjalnie lub w rzeczywistości wykorzystać. Ich liczba spada do 12 w przypadku MS Office 2007 i do trzech w MS Office 2010. Tymczasem w wersji OpenOffice z roku 2003 luk takich było 73, w wersji z roku 2007 znaleziono ich 62, a w edycji najnowszej jest ich 20. Obaj analitycy ostrzegają jednak przed nadinterpretowaniem ich wyników. Wskazują one na znaczną poprawę bezpieczeństwa, szczególnie w przypadku Microsoftu, który wdrożył skuteczne procedury tworzenia i testowania kodu oraz reagowania na zagrożenia. Dodają też, że mniejsza liczba dziur w MS Office nie oznacza, że jest to produkt bezpieczniejszy. Pakiet Microsoftu jest bowiem znacznie bardziej popularny of Open Office'a, a co za tym idzie, cieszy się większym zainteresowaniem ze strony cyberprzestępców. Stwarza tym samym większe zagrożenie dla swojego użytkownika. Sytuacja powinna wkrótce ulec zmianie, gdyż za kilka miesięcy skończy się wsparcie dla Office XP i firmy zaczną aktualizować pakiet do jego nowszych, bezpieczniejszych wersji. Ponadto Microsoft zastosował ostatnio w starszych edycjach MS Office'a mechanizm „Office File Validation", którego celem jest uniemożliwienie uruchomienia niektórych szkodliwych plików.
  9. W jądrze Linuksa Ubuntu 10.04 LTS odkryto niemal 40 dziur. Umożliwiają one przeprowadzenie ataków zarówno z sieci lokalnej jak i zdalnych. Błędy dotyczą też pochodnych Ubuntu - Kubuntu, Xubuntu i Edubuntu. Dziury powodują m.in. nieprawidłowe sprawdzanie pakietów ICMP, co pozwala cyberprzestępcy na przeprowadzenie ataku DoS. Z kolei luka w NFSv4 umożliwia lokalnemu użytkownikowi zdobycie uprawnień administratora. Eksperci ostrzegają, że próba obejścia problemu poprzez zablokowanie ICMP spowoduje problemy z pakietami UDP, co może poważnie zakłócić pracę jądra. Spośród wspomnianych niemal 40 dziur, 9 pozwala na zdobycie uprawnień administratora, a 14 umożliwia przeprowadzenie ataku DoS. Użytkownicy Ubuntu 10.04 LTS powinni zaktualizować pakiety: linux-image-2.6.35-25-generic 2.6.35-25.44~lucid1, linux-image-2.6.35-25-generic-pae 2.6.35-25.44~lucid1, linux-image-2.6.35-25-server 2.6.35-25.44~lucid1, linux-image-2.6.35-25-virtual 2.6.35-25.44~lucid1. Szczególnie zagrożeni mogą być ci użytkownicy, którzy korzystają z Ubuntu w ramach współdzielonego hostingu. Mogą nie tylko paść ofiarą ataku lokalnych, nieznanych im użytkowników, ale niebezpieczeństwo jest tym większe, im bardziej dostawca usługi będzie zwlekał z instalacją poprawionych pakietów.
  10. O tym, że mobilne systemy operacyjne zyskują na znaczeniu, nie trzeba nikogo przekonywać. Niestety, wraz ze wzrostem ich popularności zwiększa się liczba znajdowanych w nich dziur. IBM-owski zespół X-Force zaprezentował fragmenty raportu bezpieczeństwa, który w całości zostanie pokazany w połowie marca. W dokumencie czytamy, że w ciągu ostatnich pięciu lat liczba dziur znalezionych w systemach mobilnych zwiększyła się ośmiokrotnie. Ze szczególnie gwałtownym wzrostem mamy do czynienia od 2009 roku, gdy dziur takich odkryto 70. W 2010 było ich już ponad 160. Jeszcze w roku 2006 odkryto mniej niż 20 luk w systemach mobilnych. Oprogramowaniem takim coraz bardziej interesują się też przestępcy. W roku 2006 nie istniał żaden szkodliwy kod atakujący systemy mobilne. W roku 2008 znaleziono cztery zagrożenia, a w 2010 odkryto już 14 różnych fragmentów malware'u przeznaczonego do atakowania urządzeń przenośnych. Eksperci z IBM-a twierdzą, że w przyszłości przestępcy będą tworzyli kod zdolny do atakowania zarówno oprogramowania mobilnego jak i desktopowego. Tom Cross z IBM-a radzi przedsiębiorstwom, by już teraz zaczęły myśleć o odpowiednich strategiach ochrony dla firmowych smartfonów czy tabletów. Jego zdaniem wśród podstawowych zaleceń zwiększenia bezpieczeństwa należy wymienić: korzystanie z wirtualnych sieci prywatnych dla smartfonów, kontrolowanie instalowania aplikacji firm trzecich oraz niepodpisanych programów, ustanowienie polityki tworzenia haseł blokujących dostęp do urządzenia, opracowanie procedur postępowania na wypadek utraty urządzenia oraz zastosowanie oprogramowania antywirusowego.
  11. Pracujący dla Google'a Michał Zalewski poinformował, że chińscy hakerzy najprawdopodobniej wpadli na trop krytycznego niezałatanego błędu w Internet Explorerze. Błąd ten to jedna z około 100 dziur, które Zalewski znalazł w IE, Firefoksie, Chrome, Safari i Operze. Zalewski odkrył je za pomocą własnego narzędzia cross_fuzz. Później, jak mówi, przypadkowo ujawnił lokalizację tego narzędzia, więc mógł je pobrać każdy chętny. W związku z tym postanowił je udostępnić. "Trzydziestego grudnia odebrałem zapytania z adresu IP zarejestrowanego w Chinach, które odpowiadały słowom kluczowym wymienionym w jednym z plików cross_fuzz" - informuje Zalewski. Zapytanie dotyczyło pewnych funkcji w pliku mshtml.dll. W tym czasie nie było w sieci żadnych innych zapytań tego typu. "To bardzo silne wskazanie, że doszło do niezależnego odkrycia tego samego błędu w IE; inne wyjaśnienia następujących po sobie takich zapytań są bardzo mało prawdopodobne" - mówi badacz. Wbrew prośbom Microsoftu, który nie poprawił jeszcze wspomnianego błędu, Zalewski udostępnił cross_fuzz w niedzielę. Z jednej strony stało się tak dlatego, bo Chińczycy i tak wiedzą już o dziurze, a z drugiej - ponieważ specjaliści z Microsoftu nie ustosunkowali się do informacji, które im przekazał. Pierwsze informacje o błędzie wraz z wcześniejszą wersją cross_fuzz Microsoft otrzymał już w lipcu. Z kolei 20 grudnia Zalewski poinformował firmę z Redmond, że zamierza udostępnić cross_fuzz. Dzień później skontaktowali się z nim przedstawiciele Microsoftu i poinformowali go, że brak odpowiedzi z ich strony wynikał z faktu, iż nie udało im się odtworzyć błędu, o którym informował ich pracownik Google'a. Kilka dni później Zalewski otrzymał następującą wiadomość: "Zespół zajmujący się IE przeprowadził szeroko zakrojone testy, ale nie byliśmy w stanie doprowadzić do tych samych błędów, które Ty i Dave (z Microsoftu) jesteście w stanie odnaleźć. Nie wiem, dlaczego teraz udało się nam na nie trafić, ale zapewniamy, że nie było to celowe działanie". Jerry Bryant, rzecznik prasowy Microsoft Security Response Center, oświadczył, że w lipcu ani eksperci Microsoftu, ani Google'a nie byli w stanie odtworzyć warunków, w jakich dochodziło do błędu. "Dopiero 21 grudnia nowa wersja narzędzia cross_fuzz dostarczyła nam informacji na temat błędu". To nie pierwsze starcie, pomiędzy badaczami Google'a a Microsoftem. W połowie ubiegłego roku doszło do utarczki pomiędzy Tavisem Ormandy'm a koncernem z Redmond.
  12. Firma Coverity, specjalizująca się w poszukiwaniu luk bezpieczeństwa w kodzie źródłowym programów, która już w przeszłości badała programy opensource'owe, tym razem przyjrzała się kodowi systemu Android. Specjaliści znaleźli w jądrze Androida 359 dziur, z czego 88 oceniono jako wysoce niebezpieczne, a 271 jako średnio niebezpieczne. Wśród wysoce niebezpiecznych dziur 20 związanych jest z możliwością zakłócenia pracy podsystemu pamięci, 29 umożliwiają napastnikowi uzyskanie dostępu do pamięci, 11 dotyczy wycieków w pamięci, a 28 - niezainicjalizowanych zmiennych. Złą wiadomością dla Google'a, twórcy Androida, jest fakt, że mimo iż bazuje on na linuksowym jądrze, to w komponentach specyficznych dla Androida odsetek błędów jest wyższy, niż w Linuksie. Z kolei dobra informacja jest taka, że średnia dziur w Androidzie jest i tak niższa od średniej w przemyśle IT i wynosi 0,47 luki na 1000 linii kodu. Jeśli weźmiemy pod uwagę kod specyficzny dla Androida to średnia ta wzrasta to 0,78 dziury na 1000 linii. Specjaliści Coverity zauważają przy tym, że Android zmaga się tutaj z podobnym problemem, jaki ma całe środowisko opensource'owe. Filozofia tworzenia tego oprogramowania powoduje, że odpowiedzialność się rozmywa i nie wiadomo, do kogo należy poprawianie błędów. Czy powinien się zająć tym Google, czy developer, który jest autorem konkretnego kodu, czy też np. producent sprzętu, oferujący Androida.
  13. Eksperci z Panda Labs twierdzą, że system Mac OS X jest obecnie mniej bezpieczny niż Windows. Do takich wniosków skłoniła ich rosnąca liczba luk i szkodliwego kodu atakującego system Apple'a. Jeszcze w 2009 roku w systemie Mac OS X odkryto 34 dziury. W bieżącym roku liczba ta wzrosła do 175. Ponadto platforma Apple'a może być zaatakowana jednym ze 170 000 wirusów makr dla Windows. Istnieje też 5000 rodzin szkodliwych kodów, które powstały specjalnie z myślą o atakowaniu Mac OS X. Ivan Fermon, wiceprezes Panda Labs stwierdził: "Możemy dzisiaj nawet powiedzieć, że system Windows jest bezpieczniejszy od systemu Mac, ponieważ Microsoft od wielu lat pracuje nad bezpieczeństwem swoich produktów". Dodaje przy tym, że "jako, że system Apple'a nie został jeszcze poważne zagrożony, może się okazać, że zawiera on błędy, o których jeszcze nie wiemy, a one mogą być wykorzystywane podczas ataków typu zero-day, podobnych do tych, przeprowadzanych przeciwko Windows". O problemach z bezpieczeństwem systemu Mac OS X mówi się od kilku lat. Zaczęto na nie zwracać uwagę, gdy Mac OS X zyskiwał coraz większe udziały rynkowe. Wówczas okazało się, że system, o którym mówiono niegdyś, że jest najbezpieczniejszy na świecie, boryka się z poważnymi problemami. Już w roku 2007 dziennikarze serwisu ZDNet opublikowali alarmujące statystyki. Wynikało z nich, że o ile przez cały rok w Mac OS X nie pojawiła się żadna skrajnie krytyczna luka (w Windows XP i Vista były w tym czasie 4 takie dziury), to już luk wysoce krytycznych było 234 (w Windows 23), umiarkownie krytycznych 2 (w Windows 3) i 7 mało krytycznych (w Windows 4).
  14. W Zero Day Initiative (ZDI) firmy Tipping Point, największym programie w ramach którego odkrywcy luk otrzymują wynagrodzenie, wprowadzono poważne zmiany. Teraz producenci dziurawych programów będą mieli 6 miesięcy na ich załatanie. Po pół roku informacje o dziurach zostaną upublicznione. Tipping Point kupuje od niezależnych badaczy informacje, przekazuje je producentom wadliwego oprogramowania i sama opracowuje też zabezpieczenia oferowane w swoich własnych aplikacjach. Dotychczas w ramach ZDI informacje o dziurach utajniano do czasu publikacji łaty. Tylko od woli producenta zależało, jak szybko udostępni poprawkę. Teraz uległo to zmianie. Producenci mają jedynie pół roku na przygotowanie łat. Innymi słowy, dziury, które obecnie znajdują się w bazie danych ZDI powinny zostać załatane do 4 lutego przyszłego roku. Po sześciu miesiącach Tipping Point będzie wywierało nacisk na producentów publikując "ograniczone informacje" o luce. To "ograniczenie" będzie inne dla każdej luki. Jak zapewniają przedstawiciele Tipping Point zmiana zasad programu ZDI nie ma nic wspólnego z szeroko dyskutowanym postępowaniem Tavisa Ormandy'ego z Google'a, który upublicznił informację o dziurze zaledwie pięć dni po tym, jak poinformował o jej istnieniu Microsoft. Obecnie w bazie danych ZDI znajdują się informacje o 31 krytycznych dziurach, o których twórcy wadliwego oprogramowania wiedzą co najmniej od roku.
  15. Odkryta niedawno luka w windowsowych plikach .lnk, która jest wykorzystywana do atakowania przemysłowych systemów SCADA, zwiększyła zainteresowanie bezpieczeństwem samych systemów. Okazało się bowiem, że przeprowadzenie ataku jest możliwe dzięki dziurze w SCADA o której producent systemu, Siemens, wiedział od dwóch lat. Na konferencji Black Hat poinformowano o wielu innych "grzechach" tych systemów. SCADA są używane do zarządzania elektrowniami, rafineriami czy ruchem kolejowym. Jak stwierdził występujący na Black Hat Jonathan Pollet z Red Tiger Security, systemy SCADA często zawierają liczne błędy oraz niepotrzebne oprogramowania, które wystawia je na kolejne ryzyko. Pollet przeanalizował systemy używane w 120 ważnych instalacjach przemysłowych i odkrył w nich 38 753 luki. Co gorsza okazało się, że średnio upływa 331 dni pomiędzy dniem ujawnienia istnienia luki w danym oprogramowaniu, a jej odkryciem przez zarządzających systemem SCADA. W jednym z badanych przypadków Pollet trafił na lukę, która była znana od trzech lat zanim znaleziono ją w środowisku SCADA. Niemal w każdym z analizowanych systemów Pollet znalazł niepotrzebne oprogramowanie, takie jak komunikatory, bazy danych serwisów randkowych czy serwery gier online. Badania pokazały, że systemy SCADA są znacznie mniej bezpieczne niż systemy korporacyjne. W ich przypadku nie przewiduje się bowiem planowanych wyłączeń, a więc instalowanie łat czy przeprowadzanie okresowych prac konserwacyjnych jest trudne.
  16. Z danych firmy Secunia wynika, że Apple zostało światowym liderem pod względem liczby dziur w firmowym oprogramowaniu. Koncern Jobsa wyprzedził pod tym względem dotychczasowego lidera - Oracle'a. W pierwszej połowie 2010 roku w programach Apple'a znaleziono więcej dziur niż u jakiegokolwiek innego producenta, Oracle spadł na drugie miejsce, a na trzecim znalazł się Microsoft. Secunia prowadzi ranking Top-10 od 2005 roku. Firma zauważa, że przedsiębiorstwa znajdujące się na tej liście odpowiadają za 38% wszystkich znajdowanych dziur. Już pierwszy ranking pokazał, że najwięcej luk znajduje się w oprogramowaniu Apple'a, następny uplasował się Oracle, a na trzecim miejscu był Microsoft. Rok później w programach Apple'a znaleziono mniej dziur niż u dwóch wyżej wymienionych producentów producentów. Jednak już w roku 2007 Apple wyprzedził Microsoft i od tamtej pory ranking wyglądał następująco: 1. Oracle, 2. Apple, 3. Microsoft. Obecnie Apple wysunął się na prowadzenie. Na liście znajdziemy też HP, Adobe, IBM-a, VMware, Cisco, Google'a i Mozillę. Taka też była kolejność w pierwszej połowie bieżącego roku. Z raportu Secunii dowiadujemy się również, że od 5 lat praktycznie nie zmienia się odsetek luk w różnych kategoriach zagrożenia. Firma stosuje 5-stopniową skalę, od "nie krytyczna" do "skrajnie krytyczna". W latach 2005-2009 ponad 50% luk znajdowało się w kategorii "wysoce krytyczna" i "umiarkowanie krytyczna", 32% zaliczono do "mało krytycznych", a tylko 0,2% zyskało notę "skrajnie krytyczna". Najwięcej dziur daje atakującemu dostęp do systemu. Średnio za lata 2005-2009 luki takie stanowiły 33% wszystkich. Warto jednak zauważyć, że w ciągu ostatnich dwóch lat ich liczba nieco spadła. Regularnie rośnie za to liczba dziur pozwalających na przeprowadzenie ataków XSS (cross-site scripting). Wszystkie zmiany są jednak stosunkowo niewielkie i od roku 2005 wśród 29 000 programów badanych przez Secunię nie zauważono żadnego znaczącego spadku czy wzrostu liczby luk. Warto jednak zauważyć, że w latach 2007-2009 liczba dziur, na jakie narażony jest przeciętny użytkownik komputera zwiększyła się dwukrotnie, z 220 do 420. Dane z pierwszej połowy bieżącego roku sugerują, że będziemy świadkami kolejnego wzrostu, tym razem do 760 dziur. Secunia zaleca również, by zwrócić szczególną uwagę na oprogramowanie firm trzecich działających pod kontrolą systemu Windows. Okazuje się bowiem, że na przeciętnym pececie zainstalowanych jest 50 programów, w tym 26 wyprodukowanych przez Microsoft i 24 od innych producentów. W programach Microsoftu znajduje się tymczasem 3,5-krotnie mniej dziur, niż w innych programach. Prawdopodobnie w bieżącym roku stosunek dziur w programach Microsoftu do dziur w programach firm trzecich zmieni się na 1:4,4.
  17. Rząd USA rozpoczyna bardzo kosztowny i zakrojony na szeroką skalę projekt obrony kraju przed cyberatakiem. Na Perfect Citizen zostanie wydane nawet 100 milionów dolarów, a przetarg na pierwszą fazę projektu wygrała firma Raytheon. W ramach Perfect Citizen Narodowa Agencja Bezpieczeństwa (NSA) ma nadzorować za pomocą odpowiednich czujników najważniejsze elementy infrastruktury informatycznej agend rządowych i firm prywatnych. Pod nadzorem Agencji znajdą się m.in. sieci energetyczne czy elektrownie atomowe. Głównym celem projektu jest wyszukiwanie słabych stron i monitorowanie przeprowadzanych ataków, w celu zbierania danych na temat zagrożeń. Niewykluczone, że będzie też w stanie pomóc w obronie przed atakiem. O ile jednak wdrożenie projektu w sieciach rządowych nie powinno być problemem, o tyle firmy prywatne nie mają obowiązku współpracy z agendami rządowymi. Dlatego też nie wiadomo ile z nich uda się przekonać do przystąpienia do Perfect Citizen. Najłatwiej zapewne będzie przekonać te firmy, które już i tak współpracują z rządem i np. realizują zamówienia federalne. Opinie specjalistów nie są jednoznaczne co do programu. Niektórzy uważają, że jest to wtrącanie się NSA w kwestie wewnętrzne państwa, inni twierdzą, że to ważny projekt zwiększający bezpieczeństwo i jedynie NSA posiada odpowiednie zasoby, by go prowadzić. Zdaniem zwolenników, Perfect Citizen nie naruszy prywatności bardziej, niż kamery przemysłowe umieszczone na ulicy. Tym bardziej, że projekt ma przede wszystkim skupiać się na dużych systemach informatycznych starszego typu. Były one projektowane wiele lat temu, nie myślano o podłączaniu ich do Sieci i nie zabezpieczano pod tym kątem. Jednak po latach zostały podłączone do internetu i są szczególnie narażone na ataki. Systemy takie zarządzają np. ruchem lotniczym czy kursami pociągów metra. Perfect Citizen ma za zadanie zabezpieczać przede wszystkim takie miejsca. Rząd USA od ponad 10 lat mówi, że państwo ma interes w zabezpieczeniu zasobów firm prywatnych, gdyż ataki na nie mogą powodować też olbrzymie straty w państwowej infrastrukturze. Coraz częściej uwagi takie dotyczą cyberataków i urządzeń telekomunikacyjnych. Jak zwracają uwagę urzędnicy, NSA, która zajmuje się m.in. wywiadem elektronicznym, jest jedyną agendą zdolną nadzorować infrastrukturę IT w skali całego kraju.
  18. Grupa anonimowych specjalistów ds. bezpieczeństwa opublikowała szczegóły znalezionej przez siebie dziury. Zrobili to, jak mówią, w proteście przeciwko temu, jak Microsoft potraktował ich kolegę. Wspomniana luka znajduje się w systemach Windows Vista i Windows Server 2008. Pozwala na uzyskanie nieautoryzowanego dostępu do systemu oraz doprowadzenie do jego awarii. Microsoft, którego specjaliści badają wspomnianą dziurę, twierdzi, że nie jest ona groźna, gdyż do jej wykorzystania konieczny jest fizyczny dostęp do maszyny bądź tez wcześniejsze przejęcie nad nią kontroli za pomocą innej dziury. Z oceną Microsoftu zgadzają się eksperci Secunii, którzy nadal jej drugi najniższy stopień zagrożenia w swojej pięciostopniowej skali. Jednak w całym tym wydarzeniu najważniejsza nie jest dziura, a postawa anonimowych badaczy. Założyli oni grupę o nazwie Microsoft-Spurned Researcher Collective (MSRC), której skrót wyraźnie nawiązuje do Microsoft Security Response Center, wydziału odpowiedzialnego w Redmond za wykrywanie zagrożeń i przygotowywanie łat. Anonimowych badaczy, na razie jest ich sześciu, oburzył fakt, że Microsoft skrytykował Tavisa Ormandy'ego, który ujawnił informację o znalezionej przez siebie dziurze jeszcze przed jej załataniem. Działanie Ormandy'ego nie spodobało się też części ekspertów oraz prasie, a dodatkowa fala krytyki uderzyła w niego, gdy okazało się, że przestępcy, korzystając z jego informacji, zaatakowali ponad 10 000 komputerów. Członkom Microsoft-Spurned Researcher Collective szczególnie nie spodobał się fakt, iż zarówno Microsoft jak i prasa powiązały działania Ormandy'ego z faktem, że pracuje w Google'u. Dlatego też członkowie MSRC zapowiadają, że w czasie wolnym od swoich obowiązków zawodowych i bez związku z tym, gdzie są zatrudnieni, będą szukali luk w programach Microsoftu i mają zamiar ujawniać szczegóły na ich temat. Zachęcają też innych, by przyłączali się do ich grupy.
  19. Zatrudniony w Google'u specjalista ds. bezpieczeństwa, Tavis Ormandy, został skrytykowany zarówno przez Microsoft jak i niezależnych badaczy za nieodpowiedzialne zachowanie i naruszenie zasad etyki zawodowej, które propaguje jego pracodawca. Ormandy'emu dostało się za to, że ujawnił lukę w mechanizmie whitelist Windows zaledwie w pięć dni po tym, jak poinformował o niej Microsoft. Koncern z Redmond nie miał zatem szans, by zbadać dziurę oraz przygotować i przetestować poprawki. Ormandy poinformował Microsoft w sobotę, a już w najbliższy czwartek opublikował szczegółowe informacje wraz z przygotowanym przez siebie prototypowym szkodliwym kodem. Ormandy broni się mówiąc, że gdyby nie opublikował szkodliwego kodu, jego informacje zostałaby zlekceważona. Dodaje też, że działał we własnym imieniu i Google nie ma z tym nic wspólnego. Microsoft obawia się, że działanie Ormandy'ego doprowadzi do rozpoczęcia szeroko zakrojonych ataków na użytkowników Windows. Wszystko wskazuje na to, że atak można przeprowadzić nie tylko za pomocą Internet Explorera, ale wszystkich najpopularniejszych przeglądarek. Microsoft opublikował dokument, w którym opisał sposób na ominięcie niebezpieczeństwa i pracuje nad łatą. Ormandy udostępnił prototypową łatę, jednak zdaniem Microsoftu nie działa ona należycie. Tymczasem Google'owskiego eksperta krytykują też jego koledzy po fachu. Robert Hansen, szef SecTheory napisał na blogu firmy Kaspersky, że nie jest rozsądne spodziewać się, by łata powstała w tak krótkim czasie. Google w przeszłości był najbardziej aktywnym propagatorem idei odpowiedzialnego ujawniania luk. Być może dla Google'a wszystko jest w porządku, ale dla innych specjalistów tak nie jest. Hipokryzja jest zadziwiająca - stwierdził Hansen. Wtóruje mu Andrew Storms, dyrektor ds. bezpieczeństwa w firmie nCircle. Przypomina on, że nie po raz pierwszy Ormandy zdecydowanie za wcześnie ujawnia szczegóły dziur w produktach Microsoftu. Tavis próbuje twierdzić, że jego działanie nie są działaniami jego pracodawcy, ale musi dziwić fakt, że w ten sposób chętnie dolewa oliwy do ognia, podsyca walkę pomiędzy Microsoftem i Google'em oraz rysuje negatywny obraz bezpieczeństwa produktów Microsoftu - stwierdza Storms. Rzecznik prasowy Google'a również próbuje odcinać się od akcji Ormandy'ego. Jednak trudno nie zauważyć, że działanie Ormandy'ego zbiega się z czasem z ogłoszeniem przez Google'a rezygnacji z systemu Windows. Wyszukiwarkowy koncern wspomniał przy tym o względach bezpieczeństwa, jednak eksperci nie wierzą w szczerość takiej motywacji. Nie wszyscy jednak potępiają Ormandy'ego tak zdecydowanie. H.D. Moore, twórca Metasploit, uważa, że najlepszym sposobem na zmuszenie producenta oprogramowania do szybkiej publikacji łaty jest wydanie prototypowego szkodliwego kodu. Ostrożny w potępianiu jest też Gordon Lyon, niezależny ekspert ds. bezpieczeństwa i były szef Computer Professionals for Social Responsability. Stwierdził on, że dzięki działaniu pracownika Google'a jego komputer jest bezpieczny, a wszyscy użytkownicy mogą zabezpieczyć się, sięgając po poradę Microsoftu i stosując zawarty w niej sposób na obejście luki.
  20. Nowo odkryty błąd w microsoftowym Help and Support Center pozwala na zdalne zaatakowanie systemu Windows. Do ataku dochodzi, gdy użytkownik odwiedzi specjalnie spreparowaną witrynę używając Internet Explorera. Problem leży w błędnej implementacji mechanizmu whitelist, który pozwala sprawdzić, czy przywołany przez użytkownika dokument pomocy pochodzi z zaufanego źródła. Błąd powoduje, że atakujący może pominąć sprawdzanie przez whitelist i jest w stanie podsunąć użytkownikowi dokument z dowolnego źródła. Dzięki temu jest np. w stanie uruchomić klienta FTP, który pobierze na komputer ofiary szkodliwy kod. Przeprowadzenie ataku jest dość skomplikowane i wymaga sporej wiedzy, gdyż konieczne jest ominięcie alertów wyświelanych przez przeglądark. Można to uczynić wykorzystując mechanizm ActiveX Windows Media Playera. Odkrywca dziury uważa jednak, że cały proces można uprościć. Na razie zademonstrowano jego skuteczność na Windows XP SP3 z IE8 oraz Windows Media Playerem. Błąd zagraża też użytkownikom Windows Server 2003. Bezpieczni są za to posiadacze Windows 7 z IE8. Microsoft został poinformowany o istnieniu luki przed tygodniem.
  21. W przyszłym miesiącu, podczas konferencji Hack in the Box dwóch badaczy, Christophe Devine i Damien Aumaitre, chce ujawnić poważny błąd projektowy w Windows 7 i Mac OS X. Specjaliści znaleźli go w mechanizmie Direct Memory Access. Pozwala on na ominięcie wszystkich zabezpieczeń systemu. Problem jest związany z funkcjonowaniem płyty głównej, nie można go zatem naprawić tylko poprzez oprogramowanie. To duży problem, gdyż atakujący może manipulować pamięcią komputera - powiedział organizator konferenji, Dhillon Andrew Kannabhiran. Devine i Aumaitre pokażą też w jaki sposób można ominąć zabezpieczenia Windows 7 podłączając do komputera kartę PCMCIA. Podobny błąd występuje w Mac OS X. Badacze mówią, że w tym przypadku będzie on nieco łatwiejszy do naprawienia, ale zagrożenie przezeń stwarzane jest większe. Dziura prawdopodobnie występuje też w urządzeniach iPod Touch, iPhone oraz iPad. Jego odkrywca, Ilja van Sprundel, informuje, że można go użyć do manipulowania obecnym w systemie operacyjnym elementem IOKit i wykorzystać dzięki temu liczne błędy w urządzeniach korzystających z systemu Mac OS X. Mówimy tutaj o pewnej funkcjonalności jądra w Mac OS X - powiedział Kannabhiran. Dodał, że eksperci jeszcze nie wiedzą, na ile błąd ten jest zależny od sprzętu. Microsoft i Apple zostały poinformowane o wspomnianych błędach. Przedstawiciele żadnej z firm nie skomentowali doniesień na ten temat.
  22. Firma Beyond Trust przeprowadziła analizę dziur załatanych przez Microsoft w 2009 roku oraz dziur znalezionych dotychczas w Windows 7 i stwierdziła na tej podstawie, że zdecydowanej większości zagrożeń można uniknąć, jeśli tylko odpowiednio skonfiguruje się prawa dostępu do komputera. W ubiegłym roku koncern z Redmond wydał niemal 75 biuletynów bezpieczeństwa, w których załatano około 200 luk. Z badań Beyond Trust wynika, że właściwe używanie uprawnień - a więc codzienna praca na koncie gościa i korzystanie z konta administratora tylko wówczas, gdy jest to konieczne - to najlepszy sposób na zabezpieczenie komputera. Aż 90% krytycznych błędów w Windows 7 nie można wykorzystać na komputerze, na którym zalogowany jest gość, a nie administrator. W przypadku pakietu MS Office okazało się, że 100% dziur załatanych w ubiegłym roku można było zaatakować tylko na koncie administratora. Korzystanie z konta gościa chroniło przez 94% luk we wszystkich wersjach Internet Explorera i przed 100 procentami dziur w IE8. Ogólnie rzecz ujmując, jeśli pracowaliśmy na koncie gościa, to niegroźne nam było 64% wszystkich błędów znalezionych w ubiegłym roku w produktach Microsoftu. Beyond Trust informuje, że 87% spośród dziur pozwalających na zdalne wykonanie szkodliwego kodu, było niegroźnych dla konta gościa. W przypadku dziur krytycznych odsetek ten wynosił 81%. W ubiegłym roku znaleziono 133 błędy we wszystkich wersjach Windows, z wyjątkiem Windows 7. Nieco ponad połowa (53%) była niegroźna dla osób korzystających z konta gościa. Najbezpieczniejszym z systemów był... Windows XP, w przypadku którego 62% dziur nie dotyczyło konta gościa. Najmniej bezpieczny to... Windows Server 2008, dla którego odsetek ten wyniósł 53%. Należy tutaj pamiętać, że same wartości procentowe to nie wszystko, gdyż Windows XP był systemem w którym, obok Windows Server 2003, odkryto najwięcej dziur. Najmniej było ich w Viście i Windows Server 2008. Windows 7 można było ochronić przed 90% krytycznych błędów poprzez niekorzystanie z konta administratora. Takie działanie zapobiegało też wykorzystaniu 57% z wszystkich dziur znalezionych w tym OS-ie.
  23. Window Snyder, o której odejściu z Mozilli informowaliśmy przed rokiem, rozpoczyna pracę w Apple'u. Będzie zajmowała się tam bezpieczeństwem produktów firmy Jobsa. Apple od dłuższego już czasu jest krytykowane za zwlekanie z łataniem swoich programów. Tylko w ciągu ostatniego tygodnia specjaliści programu Zero Day Initiative firmy Tipping Point znaleźli w produktach Apple'a siedem krytycznych niezałatanych dziur. Prawdopodobnie wszystkie one znajdują się w przeglądarce Safari. Na liście Zero Day znajdziemy też inne dziury w produktach firmy Jobsa, z których najstarsza czeka na łatę od 341 dni. Podczas ostatniego konkursu hakerskiego Pwn2Own, kiedy to system Mac OS X po raz kolejny został złamany jako pierwszy, jego zwycięzca stwierdził, że ataki na system Apple'a są bardzo łatwe. Tworzenie szkodliwego kodu na Vistę to ciężka praca, tworzenie na Mac OS X to zabawa - powiedział haker. Window Snyder może zmienić ten stan rzeczy. Podczas pracy w Microsofcie tworzyła ona Service Pack 2 dla Windows XP i Windows Server 2003, a w Mozilli była odpowiedzialna za bezpieczeństwo Firefoksa, stworzyła system oceny luk.
  24. Ponad połowa (52%) osób, które wzięły udział w ankiecie firmy Sophos uznała, że należy w ogóle porzucić Internet Explorera, by czuć się bezpiecznym. Jednak 20% nie zgadza się z tą opinią twierdząc, że zmiana przeglądarki nie zwiększa bezpieczeństwa, gdyż wszystkie programy zawierają dziury. Kolejne 15% uznało, że zmiana programu nie uchroni przed niebezpieczeństwem, którego można uniknąć wykorzystując oprogramowanie zabezpieczające i zdrowy rozsądek. Pozostałe 14% stwierdziło, że czasowe porzucenie IE może być dobrym rozwiązaniem. Graham Cluley z Sophosa ostrzega pracowników firm, by samodzielnie nie podejmowali decyzji o zmianie przeglądarki. Jeśli wasz wydział IT nie wspiera oficjalnie innej przeglądarki, a wy nie macie doświadczenia w korzystaniu z alternatyw, możecie spowodować sporo problemów, jeśli zaczniecie używać innego oprogramowania. Wykorzystywane w firmie aplikacje sieciowe mogą nie działać prawidłowo lub w ogóle nie pracować pod innymi przeglądarkami. To źle odbije się na waszej pracy. Poza tym, co zrobicie, gdy inna przeglądarka też będzie zawierała błędy? Znowu ją zmienicie? Radzę, byście rezygnowali z IE tylko wówczas, gdy naprawdę wiecie, co robicie - stwierdził Cluley. Tymczasem Microsoft obiecuje, że wyda poprawkę do IE poza zwyczajowym comiesięcznym cyklem. Dziura, która pozwoliła na zaatakowanie Google'a i innych firm, istnieje w IE 6, 7 oraz 8. Na razie wykorzystywane jest tylko podczas sporadycznych, bardzo precyzyjnych ataków na użytkowników IE 6, chociaż ukazał się już prototypowy szkodliwy kod dla IE 7.
  25. Z informacji udostępnionych przez VeriSign iDefense wynika, że Microsoft od wielu miesięcy wiedział o niedawno załatanej dziurze typu zero-day w IE6 oraz IE7. Wszystko wskazuje na to, że koncern zwlekał z łataniem luki gdyż... nie była ona wykorzystywana przez cyberprzestępców. Pochwały pod adresem koncernu z Redmond, który w ciągu kilkunastu dni przygotował poprawkę, są zatem przedwczesne. Jak dowiadujemy się z prowadzonego przez iDefense programu Zero Day Initiative, Microsoft otrzymał informację o dziurze już 9 czerwca bieżącego roku. Firma nic z tym nie zrobiła, mimo że dziura dotyczyła programów, których udziały w rynku sięgają 40%. W końcu 20 listopada w Sieci pojawił się szkodliwy kod. Poprawka została udostępniona po kilkunastu dniach, podczas ostatniego Patch Tuesday. Eksperci byli zaskoczeni, że udało się ją przygotować i przetestować tak szybko. Microsoft zebrał pochwały. Okazuje się jednak, że były one nieuzasadnione. Koncernowi Ballmera udawało się w przeszłości szybko przygotować i udostępnić poprawki nawet poza ich comiesięcznym cyklem. Działo się tak jednak tylko wówczas, gdy mieliśmy do czynienia z niebezpieczną luką, aktywnie wykorzystywaną przez cyberprzestępców. Jak widać, w niektórych przypadkach zanim dziura nie stanie się luką typu "zero-day" Microsoftowi nieszczególnie śpieszy się z jej łataniem.
×
×
  • Dodaj nową pozycję...