Wszystkie wersje Apache 2.0 poprzedzające wydanie 2.1.6 są podatne na atak piggyback umożliwiający przesłanie fałszywych nagłówków HTTP. Atak został zaprezentowany przez Watchfire.
Odpowiednia modyfikacja ‚Transfer-Encoding: chunked’ i ‚Content-Length’ umożliwia przeprowadzenie ataków typu cache poisoning, cross-site scripting, session hijacking i innych.
Źródło informacji: Whitedust.net
W najbliższy wtorek Microsoft udostępni nowe uaktualnienia bezpieczeństwa, wśród nich trzy krytyczne.
Poprawki dotyczą systemu Microsoft Windows oraz pakietu Office. Gigant z Redmond zapowiedział również uaktualnioną wersję Microsoft Windows Malicious Software Removal Tool.
Korporacja nie udostępniła szczegółów dotyczących aktualizacji informując jedynie o kilku krytycznych, które poprawiają błędy umożliwiające wykonanie niebezpiecznego kodu bez ingerencji użytkownika systemu. Część z nich będzie wymgagać restartu systemu.
Źródło informacji: Techworld.com
Według podanych informacji CardSystems Solutions Inc. umożliwił kradzież 40 mln. numerów kart kredytowych. Pewna ich ilość jest sprzedawana przy pomocy rosyjskich witryn internetowych.
Barry Edmonds jest jedną z ofiar kradzieży numerów kart kredytowych. Jego numer karty kredytowej został wykorzystany do przeprowadzenia transakcji bankowych w Kanadzie, Anglii i Chinach.
Wykradzione numery są obecnie sprzedawane na tzw. czarnym rynku. Szacunkowa cena podstawowej karty Mastercard wynosi ponad 42 USD, zaś złotej blisko 70 USD.
FBI wszczęło dochodzenie w tej sprawie. Visa i Mastercard oceniły iż 40 mln. rachunków może zostać wykorzystanych przez nieuprawnionego użytkownika, jednak CardSystems Solutions uważa iż liczba zagrożonych kradzieżą kart nie przekracza 68 000.
Źródło informacji: Computer Crime Research Center
Od 1 sierpnia brytyjska firma Youview uruchomi nową usługę telekomunikacyjną, która pozwoli mieszkańcom Wysp przesyłać do odpowiednich służb anonimowe wiadomości SMS i MMS z powiadomieniem o aktach wandalizmu.
W chwili, gdy któryś Brytyjczyk zauważy np. źle zaparkowany samochód, czy malowanie graffiti, może zrobić zdjęcie lub napisać powiadomienie i wysłać je z telefonu komórkowego.
Istotne jest to, że „donosiciel” nie musi ujawniać swojej tożsamości, a tym samym nie naraża się na zemstę.
Wszystkie powiadomienia będą odbierane przez specjalną Jednostkę ds. Zachowań Antyspołecznych, nowo utworzoną grupę przedstawicieli społeczności lokalnych, którzy współpracują z policją i miejskimi radami.
Po interwencji, osoba zgłaszająca przewinienie będzie otrzymywać wiadomość z zaproszeniem do odwiedzenia strony internetowej, gdzie będą opisane szczegóły akcji podjętej przez Jednostkę ds. Zachowań Antyspołecznych.
Jak wyjaśnia Fiona Brownsell, szef wykonawczy firmy Youview, pomysł powszechnej inwigilacji zrodził się w związku z tym, że siły policyjne są ograniczone i nie mogą monitorować wszystkiego.
Brownsell przyznała także, że obecnie trudno jest oceniać skuteczność działania Jednostek ds. Zachowań Antyspołecznych, ponieważ są one dopiero na etapie tworzenia.
Tak więc z oceną inicjatywy Youview trzeba będzie nieco zaczekać, niemniej już obecnie można zauważyć, że pomysł dość niebezpiecznie przypomina Orwellowską rzeczywistość „Roku 1984”.
Źródło: Vnunet
http://www.youview.co.uk
Została wykryta krytyczna luka w bibliotece zlib, używanej w bardzo wielu aplikacjach działających pod różnymi systemami operacyjnymi, w celu bezstratnej kompresji danych. Wykorzystanie luki może prowadzić do przejęcia kontroli nad lokalnym lub zdalnym komputerem.
Luka istnieje w pliku źródłowym inftrees.c. Błąd polega na niewłaściwej dekompresji specjalnie utworzonych danych, prowadzącej do przepełnienia bufora i w rezultacie wykonania dowolnego kodu z przywilejami użytkownika biblioteki zlib.
Obecnie nie istnieje żadna oficjalna łata na tę bibliotekę. Wielu producentów oprogramowania opublikowało swoje poprawki. Linki do niektórych z nich:
Gentoo
FreeBSD
Debian
SuSE
Ubuntu
Red Hat
Źródło informacji: CERT Polska
Technologia VoIP przeżywa boom, ale Skype nie jest aż tak popularny, jak się powszechnie uważa – twierdzą analitycy z firmy Point Topic.
Liczba użytkowników komercyjnej telefonii internetowej osiągnęła 11 mln co oznacza, że podwoiła się w ciągu ostatnich 9 miesięcy.
Liderem rynku VoIP jest Japonia, gdzie z usług tego typu korzysta 4,5 mln osób.
W Ameryce z komercyjnego VoIP korzysta 2,1 mln użytkowników.
Oczywiście powyższe zestawienie nie obejmuje aplikacji będących klientami VoIP, w tym programu Skype.
Jak do tej pory Skype został pobrany w 100 mln kopii, a liczba zarejestrowanych użytkowników sięga 35 mln.
Z odpłatnej usługi SkypeOut, umożliwiającej łączenie się z telefonami stacjonarnymi i komórkowymi, korzysta 1,2 mln osób.
Specjaliści z PointTopic oceniają jednak, że Skype’a regularnie używa nie więcej niż 5,3 mln internautów.
Źródło: ZDNet
http://www.point-topic.com/content/dslanalysis/voipana050706.htm
Coraz więcej spamu zawiera złośliwe kody i programy szpiegujące, które instalują się bez wiedzy użytkownika na jego komputerze w chwili otwarcia niechcianego e-maila – wynika z najnowszego raportu „Spam Index” firmy Clearswift, zawierającego podsumowanie aktywności spamerów w maju tego roku.
Cechą charakterystyczną rynku niechcianych wiadomości elektronicznych w maju było ponowne ożywienie elektronicznych kartek okolicznościowych rozsyłających złośliwe programy.
Ten rodzaj spamu, który tradycyjnie największą popularnością cieszy się w okolicach świąt Bożego Narodzenia, polega na tym, że po otwarciu kartki z życzeniami, na komputerze adresata uruchomiony zostaje złośliwy kod lub program szpiegujący.
Duża ilość spamu związana była ze sprawą Michaela Jacksona. W e-mailach pt. „Wiadomości z Neverland Ranch” ukryte były konie trojańskie, które instalowały się na komputerze odbiorcy w momencie otwarcia listu.
Spam Index ujawnił też trzykrotny wzrost ilości spamu pornograficznego z 5.62 proc. w kwietniu do 14.05 proc. w maju.
Wzrosła również liczba niechcianych wiadomości zachęcających do zakupu leków i medykamentów (z 35 do 45 proc.).
Mniejszą aktywność wykazywali spamerzy rozsyłający wiadomości o tematyce finansowej (spadek z 39 do 23 proc.).
Na stałym poziomie utrzymuje się liczba e-maili namawiających do gry w kasynach on-line (spadek z 1,3 do 0,3 proc.).
Nie zmieniła się znacząco ilość spamu zawierającego oferty sprzedaży bezpośredniej (15,7 proc. w kwietniu, 12,9 w maju).
Ciekawostką jest fakt, że w maju spam został zdominowany przez tematykę związaną z psami. Do skrzynek pocztowych trafiło sporo niechcianych e-maili z informacjami dla właścicieli psów: zaczynając od odżywek i żywności dla psów, kończąc na podręcznikach tresury.
Wyniki „Spam Index” opracowywane są na podstawie raportów generowanych przez rozwiązania antyspamowe, z których korzysta 20 milionów użytkowników. „Spam Index” odzwierciedlający charakter i tendencje rozwoju spamu publikowany jest co miesiąc.
http://www.clearswift.com/news/item.aspx?ID=826
Google wydało właśnie swój pasek narzędzi dla Firefoxa, dostępny w 10 wersjach językowych i dla 3 systemów operacyjnych (Windows, Mac oraz Linux).
Narzędzie można pobrać ze strony domowej Google Toolbar. Dla większej liczby zawsze świeżych i innowacyjnych informacji zaleca się częste czytanie Google Blog.
Pasek narzędzi Google dla Firefoxa oferuje m.in.:
– Google Search (szybki dostęp do wyszukiwarki Google z poziomu wbudowanej w przeglądarkę aplikacji)
– Spell Check (aplikacja czuwająca nad poprawnością Naszej pisowni np. podczas pisania e-maila z poziomu przeglądarki)
– AutoFix (opcja ta pozwala na automatyczną poprawę błędów wykrytych przez Spell Check)
– AutoFill (słynne i użyteczne auto-uzupełnianie)
– WordTranslator (funkcja służąca do tłumaczenia anglojęzycznych stron na rodzime użytkownikowi języki)
…oraz wiele innych. Niestety, niektóre z nich nie obsługują jeszcze języka polskiego.
Źródło: Google Blog
Kolejna wersja przeglądarki internetowej Opera, 8.02, będzie posiadała wbudowanego klienta BitTorrenta.
Ciekawskich zapraszamy na oficjalny serwer FTP, gdzie już znalazła się wersja przeglądarki Opera 8.02 „technical-preview-1”.
BitTorrent to nic innego jak protokół wymiany i dystrybucji plików, którego celem jest odciążenie pasma serwera udostępniającego pliki. Jego największą zaletą nad protokołem HTTP jest dzielenie pasma pomiędzy osoby pobierające w tym samym czasie dany plik.
Oznacza to, że użytkownik w czasie pobierania wysyła fragmenty pliku innym użytkownikom. System jest zintegrowany ze stroną WWW serwera a sam proces pobierania, od strony użytkownika jest zbliżony do transmisji pliku za pośrednictwem protokołu HTTP. Od strony serwera system składa się z udostępnionych publicznie metaplików .torrent, trackera oraz klienta sieci wysyłającego pliki.
Źródło: OperaWatch