Microsoft, Windows

"Előzetesen annyit tudni, hogy a hiba a Windows és IE jelenleg összes támogatott verzióját érinti, beleértve a Windows 7 és IE8 párost is. Az előadást február 3-án tartó Luis Alvarez Medina a Core Security Technologies biztonsági cég szakembere. Medina előzetes közzététele alapján egy olyan sérülékenységről van szó, amely már 2008 óta ismert, és a Microsoft két esetben is igyekezett patchelni."

A részletek itt. Angolul itt és itt.

Aki nem élt még akkor, nem Windows-t használt, vagy egyszerűen csak nem használt számítógépet, annak mindenképpen érdekes lehet. Aki élt és használt is Windows-zal számítógépet, annak egy kis retro élmény. Egy webfejlesztő megteremtette a Windows 3.1 élményt - DOS prompt, játékok, böngésző stb. -, amelyet egy webböngésző segítségével újra lehet élni. Itt (a Help szerint legjobban Firefox 3-ban mutat, IE 6, 7, 8 böngészőkben elfogadható).

Tegnapelőtt jelentette be a Google alkalmazásában álló Tavis Ormandy, hogy a 32 bites Windows kernelek (NT-től a Windows 7-ig) súlyos biztonsági sebezhetőségben szenvednek. A szakember egy proof-of-concept exploit-ot is mellékelt a bejelentéshez. A H Security megerősítette, hogy az exploit működik Windows XP-n és Windows 7-en. Ormandy azt állította levelében, hogy figyelmeztette a Microsoft-ot tavaly nyáron a problémára és a redmondi cég megerősítette, hogy a sebezhetőség valóban létezik. Javítás eddig azonban nem érkezett. A Microsoft Security Response Center (MSRC) weboldalon tegnap Jerry Bryant bejelentette, hogy kiadtak egy biztonsági figyelmeztetőt a szóban forgó Elevation of Privilege (EoP) bugról. Az SA elolvasható itt.

Az MSRC-n az előzetes ígéretnek megfelelően a Microsoft bejelentette, hogy mikor fogja soron kívül javítani az Internet Explorer böngészőcsaládot érintő kritikus sebezhetőséget. A következő "patch kedd" helyett - amely február 9-én lett volna esedékes - a vállalat holnap, azaz 2010. január 21-én, csütörtökön PST (UTC-8) idő szerint reggel 10 óra körül kezdi meg a javítás terjesztését. A redmondi cég egy, a részleteket ismertető előzetes figyelmeztetőt is kiadott erről. A részletek itt.

"A Microsoft Software Assurance (frissítési garancia) licencet megvásárló hazai vállaltok sok egyéb mellett ingyenes oktatásra is jogosultak, a legtöbben azonban nem élnek a lehetőséggel. [...] Az SA kuponokat hivatalos Microsoft oktatópartnereknél lehet beváltani felhasználói, rendszerüzemeltetési vagy fejlesztési tanfolyamokra. Ilyenkor nem a felhasználó, hanem a Microsoft fedezi az oktatás költségeit, ezzel mindenki jól jár, a licencvásárló ingyenes oktatáshoz, az oktatóközpontok pedig diákokhoz és bevételhez jutnak." A teljes cikk itt olvasható.

Úgy fest, hogy a nyomásgyakorlás eredménnyel járt. A Microsoft soron kívül javítja az Internet Explorer súlyos biztonsági hibáját. Ezt George Stathakopoulos jelentette be a Microsoft Security Response Center (MSRC) weboldalon tegnap. A bejegyzés megemlíti, hogy továbbra is csak korlátozott támadásokról tudnak, sikeres támadásról csak IE6 ellen van tudomásuk és, hogy továbbra is azt ajánlják, hogy mindenki váltson IE8-ra. A vállalat úgy gondolja az események hatására, hogy a soron kívüli javítás a legjobb döntés. A vizsgálatot tovább folytatják. A soron kívüli hibajavítás időpontjáról ma adnak bővebb tájékoztatást. A bejegyzés itt olvasható.

Aleksey Bragin, a ReactOS projektvezetője a minap egy levelet küldött a ReactOS fejlesztői listájára, amelyben összefoglalta a ReactOS eddig elért eredményeit, majd egy új, Arwinss névre hallgató alprojektet jelentett be és közreműködésre buzdította a fejlesztőket.

Aleksey elmondta, hogy a ReactOS projekt körülbelül 11 éve létezik és folyamatosan nő, fejlődik. Állítása szerint óriási igény lenne egy nyílt forrású, Windows kompatibilis operációs rendszerre.
Miközben az idő telt, újabb Windows verziók jöttek, de a ReactOS használhatóság szempontjából nem tudott igazán jelentős értéket felmutatni, még a beta szintet sem érte el. Ennek ellenére kétségtelen, hogy vannak a projektnek eredményei: felbukkant az audio támogatás, a bootloader képes elindítani egy igazi Windows-t, néhány Windows-ra készült bináris driver betölthető és használható ReactOS-en, a hálózatkezelés napról napra fejlődik és a kernelen fejlesztésén is aktívan dolgoznak. Azonban ez a végfelhasználókat nem érdekli. Számukra az lenne a fontos, hogy a webböngészőben megjelenjenek a weboldalak, az azonnali üzenetküldő kliens csatlakozzon és használható legyen, az Office dokumentumokat meg lehessen nyitni és lehessen szerkeszteni, az e-mail kliens új üzeneteket tudjon fogadni.

A Microsoft Security Response Center (MSRC) weboldalon Jerry Bryant tegnap friss információkat publikált az Internet Explorer összes verzióját érintő sebezhetőségről. A vállalat továbbra is azt hangsúlyozza, hogy csak az Internet Explorer 6-os verzióját futtatók ellen lát "nagyon korlátozott" mértékű támadásokat. Azonban megemlíti, hogy tudomásuk van olyan hírekről, hogy biztonsági szakemberek kifejlesztettek egy PoC-ot amely képes a sebezhetőség kihasználására Internet Explorer 7 / Vista kombón. Ezt az állítást jelenleg vizsgálják, de egyelőre nem tudják megerősíteni.

A Microsoft a hibát egyelőre nem javította. Ennek ellenére erősen ajánlják az ügyfeleknek, hogy frissítsenek Internet Explorer 8-ra amilyen gyorsan csak tudnak:

Frissítés: Franciaország nemzeti IT biztonsági hivatala csatlakozott a német társszervezet álláspontjához és azt javasolja, hogy a hiba javításáig váltsanak a felhasználók IE-ről alternatív böngészőre.

A Google nemrég jelentette be goo.gl névre hallható URL rövidítő szolgáltatását. Úgy fest, hogy a Bing sem akar lemaradni. Egyesek felfedezték, hogy a Twitter-en megjelentek binged.it által rövidített URL-ek. A SeattlePi megkérdezte a Microsoft-ot arról, hogy mi ezzel a helyzet. A Microsoft megerősítette, hogy egyezségre léptek a Bit.ly-vel (ismert URL rövidítő), s ennek eredményeképpen használják - jelenleg házon belül - a binged.it rövidítőt. Egyelőre nincs mit bejelenteniük ezzel kapcsolatban.

A Microsoft egy figyelmeztetőt adott ki, amelyben leírja, hogy a Windows XP-ben található Adobe Flash Player 6 kritikus, távoli rendszerhozzáférést lehetővé tevő sebezhetőségben szenved. A redmondi cég javítást nem ad hozzá. Mivel az Adobe a Flash Player újabb verzióiban javította már ezt a problémát, a Microsoft azt javasolja, hogy az XP felhasználók vagy frissítsék a Flash Player-t az Adobe-tól, vagy távolítsák el a régi verziót az XP-ből. A figyelmeztető itt.