Wielkiego zdziwienia nie było, już we czwartek na jednym z Microsoftowych blogów pojawiła się zapowiedź styczniowych biuletynów bezpieczeństwa - jednego krytycznego i jednego ważnego - usuwających nienagłośnione luki w systemie Windows (mimo to w sieci pojawiły się już wykorzystujące je exploity). Błąd w silniku renderowania grafiki i problem z przetwarzaniem kaskadowych arkuszy stylów w Internet Explorerze, nie mówiąc już o całym szeregu dziur wykrytych w tej przeglądarce przez Michała "lcamtufa" Zalewskiego, pozostały niezałatane.  więcej

Wystarczy do zmiennej przypisać wartość 2.2250738585072011e-308, a możemy stać się świadkami przeciążenia systemu. Problem dotyczy PHP 5.2 i 5.3.  więcej

O luce w mechanizmie Graphics Rendering Engine mówiono podczas konferencji dotyczącej bezpieczeństwa IT w Korei Południowej jeszcze w połowie grudnia ubiegłego roku. Wczoraj Microsoft potwierdził jej występowanie w różnych wersjach Windowsa, publikując poradnik bezpieczeństwa.  więcej

Kolejny raz okazało się, że stosowana przez Microsoft polityka udostępniania łatek jest po prostu zła. Nie tylko dlatego, że ukazują się one zaledwie raz w miesiącu. Zgłaszane błędy są usuwane z wielomiesięcznym opóźnieniem albo wcale, zwłaszcza w sytuacji, gdy ich odkrywca - w trosce o bezpieczeństwo użytkowników - nie upublicznia szczegółów znalezionych luk. Przekonał się o tym ostatnio Michał "lcamtuf" Zalewski, autor świeżo udostępnionego narzędzia cross_fuzz, z pomocą którego udało mu się znaleźć około setki dziur w różnych przeglądarkach.  więcej

Ledwo Microsoft załatał lukę związaną z przetwarzaniem kaskadowych arkuszy stylów (CSS) w Internet Explorerze, a już odkryto nową, podobną. Przed świętami Bożego Narodzenia wykorzystujący ją moduł został dołączony do Metasploita - pakietu narzędzi ułatwiających analizowanie zabezpieczeń.  więcej

Zgodnie z wcześniejszymi zapowiedziami Microsoft wydał w grudniu 17 biuletynów bezpieczeństwa, łatając przy tym 40 luk. Tym razem tylko dwa biuletyny uzyskały krytyczny wskaźnik ważności - jeden dostarcza zbiorczą aktualizację dla Internet Explorera, drugi eliminuje 3 dziury w sterowniku czcionek ekranowych OTF, które mogą zostać wykorzystane do zdalnego wykonania szkodliwego kodu. W aktualizacji podajemy informację o problemach, które stwarza jedna z udostępnionych poprawek.  więcej

W listopadzie gigant z Redmond skupił swą uwagę na licznych dziurach w pakiecie biurowym Microsoft Office. Udostępnione wczoraj aktualizacje zamykają w sumie 7 luk w tym oprogramowaniu. Jedna z poprawek łata też 4 błędy w serwerze Forefront UAG. Nadal niezamknięta pozostaje poważna dziura w Internet Explorerze, choć w sieci pojawił się już wykorzystujący ją exploit.  więcej

Ujawniona pod koniec ubiegłego miesiąca luka powoduje zawieszenie aplikacji, co z kolei może pozwolić atakującemu na przejęcie kontroli nad systemem. Błąd występuje także w innych produktach Adobe.  więcej

Zbliża się drugi wtorek miesiąca - dzień, w którym Microsoft publikuje biuletyny bezpieczeństwa. Nie należy się jednak spodziewać załatania w tym miesiącu nowo odkrytej luki w przeglądarce Internet Explorer. Gigant z Redmond się nie śpieszy, choć doszło już do pierwszych ataków z jej wykorzystaniem.  więcej

Gigant z Redmond opublikował w październiku 16 biuletynów bezpieczeństwa, łatając przy tym aż 49 luk, spośród których 35 pozwala na zdalne wykonanie dowolnego kodu. Mimo to status "krytycznych" uzyskały tylko 4 biuletyny, 10 innych specjaliści Microsoftu uznali za "ważne", a 2 oznaczyli jako "średnio ważne". Wbrew przewidywaniom ekspertów jedna z dziur, przez którą do systemu przedostaje się robak Stuxnet, pozostała niezałatana.  więcej

Wśród biuletynów bezpieczeństwa wydanych w tym miesiącu przez firmę Microsoft znalazła się łatka usuwająca następną lukę, przez którą do systemu Windows dostawały się różne warianty robaka Stuxnet.  więcej

Firma Adobe, podobnie jak Microsoft, opublikowała wczoraj aktualizacje zabezpieczeń przeznaczone m.in. dla Flash Playera.  więcej

Gigant z Redmond w sierpniu przygotował 15 biuletynów bezpieczeństwa, w tym jeden przedterminowy usuwający groźną lukę w obsłudze skrótów .lnk aktywnie wykorzystywaną przez cyberprzestępców. We wtorek ukazało się 8 biuletynów o znaczeniu krytycznym i 6 określonych jako ważne. W sumie usuwają one 34 usterki w różnych elementach systemu Windows i pakietu Microsoft Office.  więcej

Od kilku dni media emocjonują się możliwością przeprowadzenia jailbreaka iPhone'a z poziomu przeglądarki Safari. Specjaliści ds. bezpieczeństwa ostrzegają jednak, że wykorzystywana w tym procesie luka może posłużyć cyberprzestępcom także do innych celów.  więcej

Zgodnie z zapowiedzią z ubiegłego tygodnia Microsoft przygotował przedterminową poprawkę rozwiązującą problem z plikami .lnk, wykorzystywany przez cyberprzestępców do rozpowszechniania szkodliwego oprogramowania.  więcej

Firma Sophos wyprzedziła Microsoft i opracowała własne darmowe narzędzie do ochrony przed luką w obsłudze skrótów .lnk, która pozwala na automatyczny rozruch niebezpiecznego kodu podczas przeglądania zainfekowanej pamięci USB z poziomu Eksploratora Windows.  więcej

Google i Mozilla płacą - i to niemało - osobom, które znajdują błędy w oprogramowaniu. Microsoft, mimo że na brak funduszy nie narzeka, płacić nie zamierza. Pracę wolontariuszy wynagradza w inny sposób.  więcej

Gigant z Redmond poinformował o zmianie podejścia do upubliczniania informacji o lukach w oprogramowaniu. Dotychczas Microsoft promował tzw. odpowiedzialne ujawnianie (Responsible Disclosure), które miało polegać na powiadomieniu producenta o znalezionym błędzie i zaczekaniu, aż ten przygotuje poprawkę, co w wielu przypadkach mocno się przeciągało. Jak będzie teraz?  więcej

O luce w mechanizmie autouzupełniania przeglądarki Safari firma Apple została poinformowana ponad miesiąc temu. Jej odkrywca - Jeremiah Grossman, CTO firmy White Hat Security - nie doczekał się żadnej odpowiedzi, postanowił więc ujawnić szczegóły ataku na konferencji Black Hat, która w przyszłym tygodniu odbędzie się w Las Vegas. Podobny błąd ma występować również w innych przeglądarkach: Internet Explorerze, Firefoksie i Google Chrome.  więcej

Powaga sytuacji wzrasta z dnia na dzień. Exploit umożliwiający wykorzystanie luki w przetwarzaniu plików .lnk został dodany do Metasploita - może z nim sobie poeksperymentować każdy użytkownik tego pakietu. Specjaliści z firmy ESET wykryli nową wersję trojana, który rozpowszechnia się przez tę dziurę. Czy zmotywuje to Microsoft do szybszej pracy nad poprawką?  więcej