Ha a gyártó ürügyet biztosít arra, hogy egy biztonsági szakértő mélyebben megvizsgáljon egy potenciális biztonsági problémát, akkor annak általában nem lesz jó vége. A lengyel Security Explorations biztonsági cég - amelyet már korábbról is a Java 0-day sérülékenységek felfedezéseiről ismerhetünk - bejelentette, hogy öt új Java 7 sérülékenységet mutatott be az Oracle-nek, amelyek kombinált alkalmazásával meg lehet kerülni a Java sandbox-ot. A mélyebb vizsgálat abból következett, hogy Adam Gowdiak február 25-én két másik sérülékenységet jelentett az Oracle felé, amelyek együttes használatával szintén meg lehet kerülni a homokozót. Akkor az Oracle az egyiket "allowed behavior"-nak (megengedett viselkedés) minősítette, nem pedig sérülékenységnek, de a másikat elfogadták hibaként. "Úgy véljük, hogy a megengedett viselkedés ellentmond mind a Java SE dokumentációnak, valamint a kódban lévő biztonsági ellenőrzéseknek is", mondta a lengyel biztonsági szakértő.

A Duo Security biztonsági kutatói egy olyan módszert dolgoztak ki, amely segítségével könnyen meg lehet kerülni a Google két lépéses hitelesítő mechanizmusát azzal, hogy megszerzik a felhasználó alkalmazás specifikus jelszavát (application-specific password). "Azzal, hogy a Google minden felhasználó számára elérhetővé akarta tenni a két lépéses hitelesítést (és ezzel ne kelljen a meglehetősen összetett rendszerüket felborítani), a mérnököknek néhány kompromisszumot kellett kötniük. Ez abban nyilvánul meg, hogy kidolgozták a Application-Specific Passwords (ASP) eljárást", mondja Adam Goodman. A felhasználónak minden alkalmazáshoz - amely nem támogatja a két lépéses hitelesítést - más és más ASP-t kell megadnia és használnia (Adium, Apple Mail, Thunderbird, iCal, stb). Azonban a nevével ellentétben az ASP nem korlátozza a felhasználót abban, hogy csak bizonyos adatokhoz vagy szolgáltatásokhoz férjen hozzá.

A Linux kernelben lévő javítatlan sérülékenységek átlagosan javítási ideje két év, ami kétszer olyan hosszú idő, mint amennyi időbe kerül a Microsoft-nak, hogy javítsa a Windows rendszerekben ismertté vált hibákat, állítja a Trustwave biztonsági cég. A Linux kernel esetén a 0-day sérülékenységek - szoftver hibák, amelyekhez még nincs ismert javítás - átlagosan 857 nap után kerülnek befoltozásra, ezzel szemben a tavaly a Windows-t érintő hasonló jellegű sérülékenységek esetén a Microsoftnak átlagosan 375 napra volt szükséges, hogy javítást adjon ki. A javítások kiadása közti különbség részben magyarázható az open source projektek és a közösségek által végzett fejlesztési metódusokkal, valamint a szabadalmaztatott szoftverek készítői által alkalmazott munkamódszerekkel, mondta John Yeo a TrustWave SpiderLabs for EMEA igazgatója.

A TV és rádió állomások által használt, a vészhelyzeti üzenetek továbbítására szolgáló U.S. Emergency Alert System (EAS) olyan kritikus sérülékenységeket hordoz magában, amelyeket a távoli támadók ki tudnak használni, állítják az IOActive biztonsági tanácsadó cég kutatói. Az EAS rendszer arra szolgál, hogy az elnök, az állami vagy helyi hatóságok nyilvános figyelmeztetéseket tegyenek közzé vészhelyzetek esetén. Az információkat a műsorszórókon, kábel TV rendszereken, vezeték nélküli rendszereken, valamint műholdas digitális rádió szolgáltatókon (SDARS) és közvetlen műholdas műsorszolgáltatókon (DBS) keresztül továbbítják lakosságnak. Az EAS programban részt vevőknek speciális kódoló és dekódoló eszközöket kell telepíteniük a rendszereikbe, amely lehetővé teszi az EAS üzenetek átvitelét és szétosztását.

Az Adobe egy olyan bejelentést vizsgál, amely szerint a Reader és Acrobat nevű alkalmazásokban lévő eddig ismeretlen hibát kihasználva hacker-ek kifinomult támadások segítségével veszik célba a számítógépeket. A Szilícium Völgy egyik ismert biztonsági cége a FireEye az egyik ügyfelétől kapott PDF állományokat, amelyekbe olyan káros kódot rejtettek el, amivel ki lehet használni a frissen felfedezett sérülékenységet. A bejelentésükben nem nevezték meg az áldozatot. Az Adobe szóvivője elismerte, hogy vizsgálják a bejelentést, amely kedden érkezett hozzájuk, de részleteket nem közölt az esetről.

Az elmúlt héten az Adobe kiadott egy javítást a Flash Player két sérülékenységére, amelyeket célzott támadásban már akkor is kihasználtak. Mielőtt tovább olvassa ezt a cikket, álljunk meg egy pillanatra, győződjön meg arról, hogy a legfrissebb verziójú Flash Player-t használja. Az Adobe-nak van egy külön oldala, ahol könnyedén le tudja ellenőrizni az Ön által használt verziót. Ha Google Chrome böngészőt használ, akkor győződjön meg arról, hogy legalább ‘24.0.1312.57 m’ vagy későbbi kiadás van telepítve. És most térjünk vissza a kritikus sérülékenységre, amelyet a Kaspersky Lab kutatói Szergej Golovanov és Alexander Poljakov fedeztek fel, és továbbítottak az Adobe részére. A CVE-2013-0633 azonosítójú sérülékenységre akkor figyeltek fel, amikor egy úgynevezett "legális" felügyeleti malware-t tanulmányoztak, amelyet az olasz HackingTeam készített. A blogbejegyzésben bemutatjuk ennek a 0-day sérülékenységnek néhány támadási és felhasználási módszerét, amelyet a HackingTeam "Remote Control System"-ként forgalmazott.

Az RSA biztonsági szakértői szerint a Java 0-day sérülékenységek nem csak néhány tízezer dollárt, hanem akár százezret is érhetnek. A kutatók beszéltek arról, hogy amikor sikeresen bejutottak egy orosz oldalra, ahol a felhasználók adták és vették a szoftver sérülékenységeket, akkor találtak olyan bejegyzést, amelyben egy Java 0-day-t 100 ezer dollárért árultak. Azonban a bűnözők szívesen adnak ki ilyen áruért ennyi pénzt, mert biztosak lehetnek abban, hogy bőségesen megtérül a befektetésük, mivel néhány hét vagy hónap alatt akár milliókat is össze tudnak szedni. "Számos különféle sérülékenységet találtunk a weboldalon, de nyilván a Java és a Microsoft szoftvereit érintő hibák a legkelendőbbek azok elterjedtsége miatt".

A Microsoft nyilvánosságra hozta a februári patch keddre vonatkozó 12 bejelentés előzetesét. Ez több mint a szokásos, és egyben azt is jelenti, hogy az IT csoportok elfoglaltabbak lesznek, mint máskor. Részben jó, részben pedig rossz hír, hogy a javítócsomagok főleg a Windows-ra koncentrálnak, ezért kevesebb érkezik az Office vagy egyéb Microsoft  szoftverhez. Azért jó hír, mert az adminisztrátoroknak talán nem kell számos javítócsomagot telepíteniük csak egyetlen rendszerre. És azért rossz, mert valószínűleg az összes Windows-os számítógépet érinteni fogja a bejelentések nagy része.

Az Egyesült Királyságban dolgozó két titkosítási szakértő egy új sérülékenységet fedezett fel a TLS-ben, abban a titkosítási rendszerben, amelyet az online üzletek és bankok használnak az adatátvitel védelmére. A most felfedezett tervezési hibát kihasználva a támadók megismerhetik a HTTPS weboldalakra bejelentkező felhasználók jelszavait vagy más bizalmas adatait. A University of London, Royal Holloway biztonsági csoportjának professzora Kenny Paterson és a Nadhem Alfardan PhD doktorandusz módszerét felhasználva fel lehet törni a TLS-sel titkosított forgalmat MitM (man-in-the-middle) támadás segítségével.

Az Adobe kiadott egy sürgősségi javítást a Flash Player-ben felfedezett kritikus besorolású sérülékenységre, amiket kihasználva jelenleg is támadják a világ legelterjedtebb böngésző bővítményét. Az Adobe által kiadott figyelmeztetésben felhívják a figyelmet arra, hogy a két 0-day sérülékenységet aktívan kihasználják a hacker-ek és káros szoftver készítők. Bár a támadások a Windows és OS X rendszereket veszik célba, a rendkívüli javítás elérhető a Linux és Android felhasználók számára is. Az Adobe szerint az OS X támadások a Safari és a Firefox felhasználókat veszélyeztetik, és a káros kódot a weboldalakon host-olt Flash tartalmak segítségével juttatják el az áldozat rendszerére. A Windows esetén olyan Microsoft Word dokumentumokról számoltak be, amelyek email csatolmányként érkeznek, és amelyek káros Flash állományokat tartalmaznak.