Titkosítás, biztonság, privát szféra

Az év elején voltak már kellemetlen napjai a Lenovo-nak a Superfish ügy miatt. Most ismét valami hasonló, kellemetlen helyzetbe keveredett a gyártó.

Az Ars Technica szerint a Windows 8 / Windows 10 tartalmaz egy sokak számára ismeretlen és meglepő funkciót. Az OEM PC gyártók beágyazhatnak windowsos végrehajtható állományt a gépeik firmware szoftverébe. A Windows 8/10 ezt a végrehajtható állományt kibontja a boot során és automatikusan futtatja. Ezzel a mechanizmussal az OEM gyártó saját szoftvert injektálhat a Windows rendszerbe, akkor is, ha az frissen került újratelepítésre.

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők és a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót 2007-ben tartották. Idén immár a kilencedik díjkiosztóra került sor a Las Vegas-i Black Hat biztonsági konferencián. A győzteseket a korábban bejelentett jelöltek közül választották ki.

A 2015-ös Pwnie awards díjazottjai:

A hétvégén a Facebook biztonsági igazgatója, Alex Stamos kifakadt és arról tweetelt, hogy itt az ideje annak, hogy az Adobe bejelentse a Flash életciklusának végét és arra kérje a böngészőgyártókat, hogy azok állítsák be a killbiteket az adott napra.

A Firefox support team vezetője komolyan vette a kérést. Olyannyira, hogy meg sem várta az Adobe-ot, már tegnap bejelentette, hogy a Flash összes verziója alapértelmezetten blokkolt a Firefox-ban tegnaptól.

BIG NEWS!! All versions of Flash are blocked by default in Firefox as of now. https://addons.mozilla.org/en-US/firefox/blocked/p946 … #tech #infosec

Brent Cook bejelentette, hogy elérhető az OpenBSD-s OpenSSL-fork, a LibreSSL 2.2.1-es kiadása. A kiadást szélesebb körű operációs rendszer támogatás, kódminőség javulás és egyes funkciók eltávolítása jellemzi. A kiadásban megjelent a (feltehetően) Windows 2008 (a bejelentésben Windows 2009 szerepel), Windows 2003 és Windows XP támogatás.

Részletek a bejelentésben.

echo $title

[ bejelentés ]

Damien Miller bejelentette az OpenSSH 6.9 elérhetőségét. A 6.9-es kiadás főként bugfix kiadás, így főként hibajavításokat tartalmaz néhány új funkció társaságában. A bejelentés megemlíti, hogy a július végére tervezett OpenSSH 7.0-s kiadásban néhány funkció deprecated állapotba kerül és ezek érinthetik a kompatibilitást és a meglevő konfigurációkat.

Részletek a bejelentésben.

"Vadonatúj, pehelysúlyú SSL/TLS implementációt mutatott be az Amazon. Az S2N fantasztikusan kis kódbázissal valósítja meg a titkosítási protokollt, emiatt a készítők szerint könnyebben fenntartható, mind az alternatívák (például OpenSSL). Az S2N szabad szoftver, amely kimondottan az OpenSSL egyik fő könyvtárának, a libssl-nek kiváltására készítettek az Amazon fejlesztői. [...] az implementáció egészében szabad szoftver, a forráskód és a dokumentáció is elérhető a projekt GitHub-oldalán. Az Amazon által használt licenc Apache 2.0, a fejlesztők a külső hozzájárulásokat is nagyon szívesen veszik."

A teljes cikk itt olvasható.

Nemrég volt szó arról, hogy Debian fejlesztők észrevették, hogy a Chromium újabb verziója csendben blobot tölt le. Zúgolódás kezdődött. A Chromium fejlesztők a nyomásnak engedve végül beadták a derekukat. Ez azt jelenti, hogy

• eltávolítják a hotwording komponenst
• A Chromium build-ekben az r335874-től (version 45) kezdve alapértelmezetten le van (lesz) tiltva a "hotwording" és a böngésző nem tölti le a modult
• nem lesz lehetőség a funkció futási időben történő engedélyezésre
• a fenti változások nem érintik a Chrome felhasználókat
• azok a Chromium felhasználók, akik szeretnének hotwording támogatást, kénytelenek lesznek maguknak fordítani

A részletek itt olvashatók.

Mateusz Jurczyk, a Google Project Zero csapatának tagja néhány hónappal ezelőtt elkezdte biztonsági szempotból "vallatni" az Adobe Type Manager Font Driver-t (atmfd.dll), amely a Windows NT 4.0 óta biztosít támogatást az Type 1 és OpenType fontokhoz a Windows kernelben és amely ott van még mindig a Windows 8.1-ben is. A munka során főként a "CharStrings" funkcióra koncentrált. Rövid vizsgálódás után kiderült, hogy egyebek mellett a nevezett funkció kódminősége silány, így okkal gyanakodott Mateusz arra, hogy biztonsági problémák melegágya lehet.

Példa az ASLR áthágására

A HP Zero Day Initiative (ZDI) kezdeményezésének szakemberei javítatlan (0day) Internet Explorer sebezhetőségek részleteit, illetve a hozzájuk való proof-of-concept exploit kódokat hoztak nyilvánosságra. Ritka lépés ez a ZDI-től, ami szinte sosem hoz nyilvánosságra ilyen információkat addig, amíg az érintett gyártó a javítást el nem készíti. Ebben az esetben a ZDI azért tért el a szokásos protokolltól, mert a Microsoft azt közölte, hogy nem tervezi javítani a szóban forgó sebezhetőségeket. Annak ellenére sem, hogy a sebezhetőségek olyan súlyosak, hogy a Microsoft 125 ezer dollárt fizetett ki érte a ZDI csapatának a BlueHat Bonus for Defense program keretében.