Info it pe scurt

Probabil aţi auzit deja despre disputa dintre Apple şi Adobe ce are în prim plan Flash-ul. Steve Job susţinea în declaraţia sa, printre altele, că Flash era unul dintre principalele motive pentru blocajele care apăreau în sistemul de operare Mac OX. Concluzia finală a declaraţiei sale era că Flash-ul era un produs ce nu corespundea standardelor şi de aceea nu s-a mai dorit folosirea lui pe produsele Apple. Pentru mai multe detalii, am tratat subiectul aici.

În cursul săptămînii trecute Ed Bott (un scriitor premiat cu o experienţă întra-le scrisului despre tehnologie mai mare de două decenii) a publicat două articole despre vulnerabilităţile Flash. Sînt foarte bine scrise, bine punctate, iar în primul dintre ele (îl găsiţi aici) Ed Bott compara Flash-ul cu Vista din cauza problemelor sale. În al doilea articol el scrie despre lucrurile pe care Adobe nu le spune despre produsul său şi îl găsiţi aici. Ambele articole susţin punctul de vedere al lui Steve Job.

Pe de altă parte, a fost descoperită o nouă gaură de securitate al lui Windows. Este una dintr-o listă pur şi simplu imensă, dar asta este una un pic mai specială pentru că face inutilizabile (cam) toate produsele de securitate create pentru Windows. Modul de atac este inteligent: o porţiune de cod inofensivă este scanată de către programul de securitate, iar atunci cînd este considerată ca fiind sigură aceasta este folosită de către codul maliţios. Atacul funcţionează mult mai bine pe sistemele multi-nuclee pentru că un fir de execuţie nu urmăreşte celelalte fire de execuţie care rulează simulta, ceea ce face schimbul mult mai uşor. Atacul este denumit KHOBE (Kernel HOok Bypassing Engine) şi acţionează asupra unui modul din Windows denumit System Service Descriptor Table (SSDT) care este integrat în nucleul Windows şi este folosit de programale antivirus.

Detaliile le găsiţi aici.

Pe de altă parte, Microsoft a fixat alte două vulnerabilităţi. Cea mai importantă problema a afectat Outlook xpress, Windows Mail şi Windows Live Mail. Cea de-a doua a rezolvat o problemă cunoscută în Microsoft Visual Basic pentru aplicaţii (VBA). Actualizarea pentru securitate este considerată critică şi este dedicată tuturor versiunilor de Microsoft VBA SDK 6.0 şi aplicaţiilor terţilor care folosesc Microsoft VBA.

Detaliile despre ele sînt aici.

HTC a anunţat că a dat în judecată Apple pentru încălcarea patentului şi a cerut Comisiei Comerţului Internaţiona din SUA să oprească importul şi vînzara de iPhone, iPad şi iPod în Statele Unite. Plîngerea, despre care HTC susţine că invocă 5 patente, urmează acţiunii legale instituit de Apple împotriva HTC la judecătoria de pe lîngă districtul Delaware şi ITC în martie.

Detaliile sînt aici.

John Lilly, directorul general de la Mozilla a renunţat la poziţia lui, iar organizaţia îşi caută un nou conducător. Acesta va găsi o adevărată instituţie care este la o răscruce a dezvoltării ei, iar noul director general va avea nevoie de calităţi diferite de predecsorul lui pentru a lua decizia potrivită. Larry Dignan prezintă aici 5 sugestii pentru viitorul director general al Mozilla.

Pe de altă parte, un punct de vedere despre viitorul Firefox 4 este aici.

Articolul poate fi găsit aici şi aici.

Sun si rezolvarea unei vulnerabilitati Java

Ştirea asta are trei etape: anunţul, atacul şi coreţia.

Acum două săptămîni Denis Fisher şi Travis Ormandy, un cercetător de la Google, au descoperit o vulnerabilitate serioasă de la Java (mai multe informaţii aici) care lasă posibilitatea atacurile prin internet către toţi utilizatorii de Windows (oricare versiune) avînd ca rezultat o compromitere completă a sistemelor afectate. Travis Ormandy a făcut publică vulnerabilitatea după ce Sun a refuzat să corecteze rapid problema.

În numai cîteva zile hacker-ii s-au băgat deja pe fir şi au lansat un atac informatic prin intermediul unui virus care exploatează vulnerabilitatea prin descărcarea de fişiere fără autorizarea utilizatorilor (mai multe informaţii aici). Unul dintre paginile web atacate a fost una dintre cele dedicate versurilor din melodii. Orice vizitator al acelei pagini care are integrat plug-in-unl Java în navigatorul lui (Firefox sau Internet Explorer) a fost afectat cu virusul respectiv.

Aşa că Sun s-a grăbit să corecteze vulnerabilitatea, şi a făcut-o în mai puţin de o săptămînă după ce a refuzat să o corecteze.

Articol preluat de aici.

Apache.org atacat prin XSS

În cursul săptămînii trecute unul dintre serverele care găzduiesc domeniul fundaţiei Apache cu sursă deschisă (Apache.org) a fost atacat folosind o vulnerabilitate de cross-site scripting (XSS) şi un TinyURL. Atacatorii au reuşit să acceseze infrastructura domeniului accesînd serverul folosit pentru urmărirea problemelor şi a cererilor şi au furat parolele tuturor utilizatorilor. Programul a fost găzduit pe brutus.apache.org, un calculator rulînd Ubuntu Linux 8.04 LTS.

Parolele erau păstrate sub formă de text criptat folosind algoritmul SHA-512, dar cei de la fundaţia Apache au declarat că riscul de a decripta parolele simple folosind metoda dicţionarului era destul de mare şi a cerut utilizatorilor să şi le schimbe imediat. În completare, ei au spus că cei care s-au conectat la Apache JIRA între 6 şi 9 aprilie ar trebui să-şi considere parola compromisă pentru că atacatorii au modificat formularul de conectare pentru a memora parolele.

Mai multe informaţii se găsesc în articolul de pe ZDNet.com.

Articol preluat de aici.

Certificat radacina necunoscut in Firefox

Acum cîteva zile proiectul cu sursă deschisă Mozilla a anunţat că unul dintre produsele sale de bază, navigatorul Firefox, conţine un certificat rădăcină (în criptografie şi securitatea calculatoarelor acest lucru descrie un certificat de cheie publică sau un certificat auto-semnat şi este o parte a schemei infrastructurii de chei publice) care nu pare să aibă un autor cunoscut. Este posibil ca acesta să fie un certificat rădăcină legitim care a fost modificat în cadrul integrării noilor elemente din Firefox sau în cadrul altor tranzacţii, dar RSA şi VeriSign au susţinut la un moment dat că acesta nu le aparţine. Pînă la urmă RSA a revenit asupra anunţului recunoscînd că era al lor, dar a mai susţinut că certificatul nu mai era folosit aşa că a fost retras din cadrul navigatorului.

Un raport de eroare l-a identificat cu denumirea “RSA Security 1024 V3”. Este interesant că acest certificat apare ca valid în Sistemul de Rădăcini al lui Apple dar nu în cel al lui Microsoft.

Riscul unei autorizări al unui certificat rădăcină fără autor cunoscut ar putea duce la tot felul de probleme de securitate în cadrul Firefox.

Mai multe informaţii despre subiect pot fi găsite pe ZDNet.com.

Articol preluat de aici.