|
|
WIADOMOŚCI
|
|
(2008.04.22)
|
Okazuje się, że Charlie Miller, który podczas konkursu PWN2OWN w ciągu niecałych dwóch minut złamał zabezpieczenia systemu Mac OS X, wykorzystał lukę w bibliotece PCRE. Stosowna aktualizacja biblioteki została wydana w maju 2007 roku. Przeglądarkę Safari zaktualizowano jednak dopiero w zeszłym tygodniu.
Udostępniana na zasadach open source biblioteka Perl Compatible Regular Expressions (PCRE) jest wykorzystywana m.in. przez serwer Apache, interpreter PHP, środowisko graficzne KDE oraz przeglądarkę Safari. Charlie Miller wykorzystał lukę właśnie w przeglądarce Apple.
Wspomniany błąd został wykryty prawie rok temu. W maju 2007 roku pojawiła się stosowna aktualizacja. Jednak programiści Apple skorzystali z poprawki i w stosowny sposób zaktualizowali własną przeglądarkę dopiero w zeszłym tygodniu. "Takie postępowanie jest niestety bardzo rozpowszechnione. Programiści wykorzystują biblioteki stworzone przez innych, jednak nie zawracają sobie głowy ich aktualizacjami" - uważa Dragos Rui, jeden z organizatorów konkursu PWN2OWN. Jego zdaniem problem jest jeszcze bardziej widoczny, w przypadku bibliotek kompresji zlib i JPEG.
Co ciekawe, Charlie Miller jeszcze podczas zeszłorocznej konferencji Black Hat przekonywał o konieczności częstej aktualizacji otwartych bibliotek wykorzystywanych w komercyjnym oprogramowaniu. W zeszłym roku Miller wykorzystał inną lukę w bibliotece PCRE do złamania zabezpieczeń innego produktu Apple - iPhone`a. Jednak jak sam przyznaje tym razem znalazł błąd dzięki analizie kodu źródłowego Safari i biblioteki PCRE. "Wystarczyło prześledzić listę wprowadzonych zmian" - mówi Miller. Według zapewnień organizatorów konkursu PWN2OWN Miller nie będzie musiał oddać nagród: 10 tys USD i komputera Macbook Air.
Tegorocznej edycji konkursu PWN2OWN towarzyszyło wiele kontrowersji. Jedną z nich jest fakt, że błąd w oprogramowaniu Adobe Flash wykorzystany do włamania do komputera pracującego pod kontrolą Windows Vista, był rzekomo znany przedstawicielom firmy Adobe.
|
| |  |
Zobacz też:
Aktualności Artykuły
|
Więcej informacji o:
Apple Inc.
|
|
|
| Google Gears z funkcjami lokalizacyjnymi | (2008.08.25) | | W miniony piątek (22 sierpnia) Google udostępnił nową wersję oprogramowania Gears. Wprowadza ona m.in. funkcje związane z lokalizacją użytkowników aplikacji internetowych działających w trybie offline. |
| 450 tys. pobrań MS SQL Server | (2008.08.21) | | Chris Sharp z Microsoftu poinformował w czasie konferencji TechEd w Kuala Lumpur, że udostępnione niedawno najnowsze wydanie SQL Servera - 2008 - zostało już pobrane przez ponad 450 tys. użytkowników. |
| Java Lightweight UI Toolkit jako open source | (2008.08.18) | | W czwartek (14 sierpnia) koncern Sun udostępnił kod źródłowy pakietu narzędziowego UI Toolkit na licencji GPLv2 z zastrzeżeniem Classpath Exception. W uproszczeniu zastrzeżenie to oznacza, że udostępnione oprogramowanie do tworzenia interfejsów graficznych może być wykorzystywane w produktach udostępnianych na zasadach innych niż GPL. |
| Kryptografia od Google | (2008.08.13) | Google poinformował o dostępności kryptograficznego pakietu narzędziowego open source. Przeznaczonego głównie dla aplikacji webowych. Jest to pierwszy zestaw narzędziowy tego typu stworzony przez firmę działającą w sektorze usług internetowych, poinformował serwis zdnet.com
|
| Jest Service Pack 1 dla Visual Studio 2008 i .Net 3.5 | (2008.08.12) | | W poniedziałek (11 sierpnia) Microsoft udostępnił pierwsze pakiety Service Pack dla środowiska programistycznego Visual Studio 2008 oraz platformy .Net 3.5. Oba zestawy zawierają poprawki znaczących błędów oraz dodatkowe usprawnienia. |
| Polak znajduje groźne błędy w Javie w Nokiach | (2008.08.12) | | Adam Gowdiak - polski specjalista ds. bezpieczeństwa - znalazł dwie groźne luki w Javie zaimplementowanej do telefonów Nokia z serii 40 (Nokia Series 40). Błędy te mogą zostać wykorzystane przez przestępców do nawiązywania połączeń bez wiedzy użytkownika, nagrywania konwersacji czy przechwytywania danych zapisanych w pamięci telefonu. |
|
|
|
Zasoby premium - nie masz uprawnień dostępu: zapłać SMSem, 
Zasoby premium - dostęp przyznany
