Titkosítás, biztonság, privát szféra

A Google biztonsági csapata, a Project Zero eddig 90 napos türelmi idő után hozta nyilvánosságra az általa talált sebezhetőségek részleteit. Ez egyfajta középútnak tekinthető, ha figyelembe vesszük, hogy a CERT-nek 45 napos, a Yahoo!-nak 90 napos, a ZDI-nek pedig 120 napos közlési irányelve van.

Ugyan nem a Google-é a legrövidebb türelmi idő, az mégsem tetszett mindenkinek. Ezért a Project Zero finomított az érvényben levő irányelvén. Ennek megfelelően:

Werner Koch a létrehozója és fő fejlesztője a szabad, nyílt forráskódú GNU Privacy Guard titkosítási eszköznek. A most 53 éves fejlesztő 1999-ben adta ki a szoftver első, éles felhasználásra szánt, 1.0.0-s verzióját. Azóta főként jómaga (bár némi segítséggel) végezte a szoftver fejlesztését és karbantartását.

Nemrégiben, egy, a propublica.org weboldalon megjelent cikk hatására vált széles körben ismertté, hogy Koch anyagi gondokkal küzd és így bizonytalanná vált a milliók által használt eszköz fejlesztése. 2013-ban megfordult benne, hogy feladja a GnuPG fejlesztését és állást vállal, hogy el tudja tartani családját, de a Snowden-dokumentumok napvilágra kerülésekor úgy döntött, hogy nem ez az idő az, amikor ezt meg kellene tennie.

Az amerikai hadsereg egy olyan (bűnügyi) felderítést segítő eszközt tett elérhetővé a GitHub-on a minap, amely eredendően azt a célt szolgálta, hogy segített megérteni a biztonsági eseményeket és hálózati betöréseket a védelmi minisztérium hálózatán. A Dshell nevű eszköz forráskódja megtalálható a GitHub-on.

Részletek itt és itt.

A Google biztonsági csapatának hibakövető rendszere ezúttal nem Microsoft, hanem Apple biztonsági sebezhetőségek részleteit hozta nyilvánosságra a 90 napos türelmi idő lejártával.

• OS X networkd "effective_audit_token" XPC type confusion sandbox escape (with exploit)
• OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator
• OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice

Az Angler Exploit Kit egy ideje 0day Flash Player sebezhetőséget használt ki aktívan:

TL:DR Any version of Internet Explorer or Firefox with any version of Windows will get owned if Flash up to 16.0.0.287 (included) is installed and enabled.

[...]

One last bad news : Windows 8.1 Internet Explorer 11 fully updated is now owned as well,

Az Adobe tegnap frissítést adott ki a CVE-2015-0310-re.

A Microsoft rosszallása ellenére a Google nem akadályozta meg, hogy a hibakövető rendszere a beállított 90 napos türelmi idő letelte után újabb javítatlan sebezhetőség részleteit tegye publikussá. A hiba leírását a Google hibakövetője vasárnap hozta nyilvánosságra.

"Minden érdemi magyarázat nélkül eltörölte a patch-kedd előtt hagyományosan kiadott értesítéseket a Microsoft. Az IT-biztonságért felelős szakembereknek ezentúl nem lesz lehetőségük időben felkészülni a frissítések tesztelésére - a cég hárít és "megváltozott igényekre" hivatkozik. [...] A cég közlése szerint a jövőben az előzetes információkhoz (ANS - advance notification service) csak a prémium támogatási fokozatért fizető ügyfelek férnek majd hozzá."

A részletek itt olvashatók.

Néhány hónappal ezelőtt Joshua Drake (jduck) hibát talált ASUS RT-N66U routerében. Kiderült, hogy egy, az UDP 9999 portra küldött csomag segítségével lehetősége nyílik 237 karakterben tetszőleges kódot futtatni a router-en. A hiba - amely a CVE-2014-9583 hibajegy azonosítót kapta - nem csak ezt, hanem más ASUS router-eket is érint. Érinti például a december 31-én kiadott, legfrissebb firmware-t futtató RT-AC87U típust is.

Az ASUS tud a problémáról, már teszteli a javított firmware-t és azt remélhetőleg heteken belül kiadja. Addig is workaround-olható a probléma.

• ASUS bug lets those on your local network own your wireless router
• Root command execution bug found across wireless router range