Bug

Felhasználók azt vették észre, hogy néha a Skype olyan kontaktoknak is privát üzenet részleteket küld, akiknek egyáltalán nem szerettek volna ott és akkor. A Skype megerősítette a problémát. A cég szerint a hiba csak akkor fordul elő néha, ha a felhasználó kliense egy Skype IM session közben összeomlik. Ezután előfordulhat, hogy az összeomlás előtt begépelt/elküldött üzenet egy másik kontakthoz kézbesítődik.

Az érintett verziók: Skype 5.9 és 5.10 for Windows, Skype 5.8 for Mac, Skype 4.0 for Linux, Skype 1.2 for Windows Phone, Skype 2.8 for Android, Skype 4.0 for iOS.

A részletek itt.

Számos internetes szolgáltatás, weboldal - Reddit, Mozilla, Gawker - működésében okozott gondot egy szökőmásodperc-kezeléssel összefüggő bug. A problémáról beszámolók magas CPU terhelésről és egyéb problémákról számoltak be. A beszámolók Linux disztribúciók közül leginkább a Debian-t emlegették, mint a problémában érintett disztribúciót. Alkalmazások közül Java, MySQL, VirtualBox, IceWeasel, ... köhögött.

(Feltehetően) releváns linkek a témában:

• ‘Leap Second’ Bug Wreaks Havoc Across Web
• ntp: Fix leap-second hrtimer livelock
• Leap second insertion causes futex to repeatedly timeout
• Re: [PATCH -stable] ntp: Correct TAI offset during leap second
• MySQL and the Leap Second, High CPU and the Fix
• Java is choking on leap second
• Does anyone know the root cause? Why is the CPU spiking?
• Anyone else experiencing high rates of Linux server crashes during a leap second day?
• [PATCH 0/2][RFC] Potential fix for leapsecond caused futex issue (v2)

Neil Brown, a Linux softraid réteg karbantartója, az mdadm segédprogram megalkotója blogbejegyzésében arra figyelmeztet, hogy valamikor a 3.4-rc1 és 3.4-rc5 között egy csúnya RAID bug került a mainline kernelbe. A bug ugyan nem pusztítja el az adatokat, de megnehezítheti az adatokhoz való hozzáférést.

A Google biztonsági blogján arról ír, hogy rosszindulatú weboldalak felhasználásával Internet Exploreren keresztül, valamint Office dokumentumokon keresztül aktívan kihasználják azt a Microsoft XML komponens sebezhetőséget, amelyet saját biztonsági szakemberei fedeztek fel és jelentettek be május végén a Microsoft-nak. A Microsoft kedden kiadott egy biztonsági figyelmeztetőt és egy "Fix it"-et is a problémával kapcsolatban. A Google erősen ajánlja minden Internet Explorer és Microsoft Office felhasználónak, hogy alkalmazza a kiadott "Fix it"-et addig, amíg a Microsoft el nem készíti a végleges javítást.

A Lumia 900 debütálása után a Nokia közölte, hogy memóriakezelési probléma van a készülék szoftverében, amelynek következében a felhasználóknak internetkapcsolódási problémáik lehetnek. A finn cég képviselője azt ígérte, hogy a szoftveres frissítés április 16. körül elérhető lesz. A Nokia ígéretéhez híven a hétvégén megkezdte a javítás terjesztését. A részletek a Nokia lumia900update oldalán.

A ThreatPost-on jelent meg nemrég egy cikk, amely arról szól(t), hogy a hackerek kedvenc disztribúciójában, a BackTrack Linux-ban kritikus 0day "privilege escalation" sebezhetőség található. A ThreatPost cikke az eredeti felfedező infóira építve született meg. A felfedező exploit-ot is közzétett. A ThreatPost cikk felzúdulást okozott, mert a BackTrack-et vette célba, miközben a hiba több Linux disztribúciót is érint. A hírt többen is átvették. A hiba (CVE-2012-2095) tulajdonképpen nem egy, a BackTrack fejlesztői által írt kódban, hanem több Linux disztró által is szállított wicd (Wireless Interface Connection Daemon) komponensben volt megtalálható. A BackTrack fejlesztői kérdően néztek a "privilege escalation" 0day visszajelzésre, hiszen a BackTrack alapértelmezés szerint root-ként használható - nyitott TCP és UDP portok nélkül -, így értelmezhetetlen számukra a helyi "privilege escalation" root-ról root-ra.

A wicd csapat közben javította a problémát egy új kiadásban.

Mark Krenz nemrég egy, a libVT 0.21.6-os és újabb verzióiban jelen levő, biztonsági problémát okozó tervezési hiányosságra hívta fel a figyelmet. Mivel a libVTE által implementált virtual terminal widget-et számos terminal emulátor - pl. gnome-terminal, terminator, xfce4-terminal, guake, evilvte, lilyterm, sakura, termit - használja, a probléma érinti ezeket a szoftvereket. A problémás commit-ot 2009. szeptember 7-én követte el Behdad Esfahbod. Krenz 2011. novemberében fedezte fel a fenti videón demonstrált hibát, majd hibabejelentést tett a GNOME Bugzilla-ba. Szintén jelezte a hibát Behdad Esfahbod-nak is, aki nem válaszolt a megkeresésre. Közben kiderült, hogy korábban már Daniel Gillmor felhívta Esfahbod figyelmét erre a gondra, de akkor Esfahbod azt közölte, hogy már nem szándékozik a jövőben fejleszteni a libVT-t.

A probléma teljes leírása itt.

[ mempodipper | részletek | sebezhető verziók: Linux kernel >=2.6.39 | fix commit ]

Dave Forstrom, a Microsoft Trustworthy Computing igazgatója az imént egy közleményt tett közzé a MSRC blogon. A lényege az, hogy a Microsoft kiadta a Security Advisory 2659883 figyelmeztetőt, amelyben workaround található egy, az ASP.NET ügyfeleket is érintő, nyilvánosságra hozott problémára. A probléma nem csak a Microsoft termékeket érinti. A Microsoftnak nincs tudomása arról, hogy jelenleg kihasználnák a problémát, amely a .NET Framework minden támogatott verzióját érinti, de mégis azt javasolják minden ügyfelüknek, hogy alkalmazzák a figyelmeztetőben található workaround-ot. A redmondi vállalat dolgozik a javításon. A probléma (DoS) leírása, a támadásra utaló jelek észlelése stb. elolvasható itt.

Frissítve: Soron kívüli frissítés érkezik a problémára, várhatóan még ma