TECHLABS Software Digest # 03\'07

версия для печати послать другу 0
|| Содержание статьи

Показать одной страницей

28.04.2007 13:20 Автор: TECHLABS Team

Добрый день, уважаемые читатели. Впереди нас ожидают продолжительные праздники, но субботний выпуск Software Digest выходит по расписанию. Нынешняя неделя была относительно спокойной в software-мире. Пожалуй немного странным был конфуз с взломом MacBook Pro, который прошел под эгидой канадской выставки CanSecWest в Ванкувере. Конкурс, который прошел в рамках конференции CanSecWest, может показаться кому-то странным, поскольку основной задачей был взлом. Чемпионами по взлому MacBook Pro с использованием Safari стали Шэйн Макэлэвэй (Shane Macaulay) и Дино Даи Зови (Dino Dai Zovi). Программиста Макэлэвэй и исследователь в области компьютерной безопасности Зови выиграли конкурс и получили призы  - $10 000 вкупе и ноутбук. Организаторы конкурса "взломай Мак" хотели показать, что платформа Mac достаточно уязвима. "Многие из тех, кто работает в Mac OS X, утверждают, что она настолько безопасна, что Microsoft приходится прилагать больше усилий для защиты своей ОС, чем Apple", — рассказывает Драгос Руи (Dragos Rui, организатор CanSecWest.

Дино удалось обнаружить новую уязвимость Safari, в то время как Шэйн написал эксполит. Специалист по информационной безопасности собирался заполучить денежный приз, а программист скромно согласился на один из призовых ноутбуков. Победители конкурса заметили, что на взлом MacBook у них ушло 9 часов чистого времени. Если верить комментариям на Digg, хакерам удалось получить доступ оболочке только на пользовательском уровне, а уровень root они так и не взяли. Собственно говоря, в Apple отметили, что взломан был только браузер, а не сама операционная система, а участники конференции сошлись на мнении, что дыра в Safari может быть отнесена к классу опасных. Призы должны были попасть в руки к участникам после тщательного изучения эксплоита специалистами из TippingPoint. Через два дня выясняется, что эксплоит был найден не в Safari, а в эппловском видеоплеере Quick Time. Дино Даи Зови, заметивщий уязвимость в Safari подтвердил эту информацию. История обрастает новыми  подробностями: оказывается, что Зови представил уязвимость Макэлэвэю, которую тот и использовал. По словам Дино, дыра связана с особенностями реализации поддержки Java в Quick Time. Теоретически, злоумышленник может выполнить произвольный код на компьютере, используя брешь в программе. Атаку можно провести не толко через Safari, но и через Firefox, если  в настройках включена поддержка Java. Поскольку Quick Time используется не только на платформе Mac OS X, но и в Windows, Зови допускает возможность уязвимости операционных систем Microsoft, на которых установлен проигрыватель. Эксполит действует для всех версий Quick Time с 3 по 7. "Лекарства" от уязвимости пока что нет, поэтому пользователям рекомендуется временно отключить поддержку Java на своих компьютерах и не посещать подозрительные ресурсы. Заметим, что это еще одна монета в копилку ненадежности компонентов Java, которые могут использоваться для причинения вреда пользователям. Стоит заметить, что в прошлом выпуске дайджеста уже упоминалась проблемы, которые могут причинить Java-приложения в руках злоумышленников. Хосе Назарио (Jose Nazario) из Arbor Networks считает, что вредоносные сценарии для JavaScript сейчас очень просто замаскировать.

TECHLABS

По словам Назарио, сценарии можно разбить на компоненты, затем следует шифрование и специальное добавление лишних команд. Иногда в сценарий прописываются команды для затруднения отладки и запуска виртуальных машин.  "Атакующие могут уничтожать предупреждения и все виды процедур проверки. Часто они даже ограничивают возможность загрузки сценария определёнными IP-адресами" -, комментирует Назарио. Первые предупреждения о возможности использования JavaScript в качестве эксплоита поступали еще пару лет назад. Напомним, что в 2005 году подобный червь "ползал" по MySpace. А к 2006 году, написание умышленных вредоносных кодов на JavaScript и AJAX стало на коммерческую стезю. В феврале этого года компания по IT-безопасности Websense локализовала на сайте стадиона Dolphin троянский код, внедренный в JavaScript. На главной странице веб-сайта был встроен код, который заражал компьютеры, вместо стандартной операции замены текста. Расследование привело к тому, что было установлено порядка 10 сайтов, которые точно так же заражены встроенным Трояном. Билли Хоффман (Billy Hoffman), который тоже занимается исследованиями в области компьютерной безопасности представил сценарий для ботнета (он получил название Jikto), который был написан на JavaScript и работал через веб-браузер. В свете всех прецедентов, исследователи убеждены, что количество эксплоитов на JavaScript будет увенчиваться. Как мы уже писали ранее в дайджесте, вполне возможно, что метод функционирования Java будет пересмотрен. 

TECHLABS

Пожалуй, новость, на которую стоит обратить пристальное внимание – уязвимость Photoshop версий CS2, CS3, обнаруженная аккурат в конце рабочей недели. В Photoshop Creative Suite 3, который был выпущен ровно месяц назад, обнаружена критическая уязвимость. Стоит заметить, что эксплоит, обнаруженный компанией Secunia, действует и в Creative Suite 2. Он вызывает переполнение буфера во время обработки файлов с расширениями  .bmp, .dib и .rle. Сразу после того, как произойдет переполнение буфера, злоумышленник получает полный доступ к файловой системе зараженного компьютера. В Secunia сообщают, что открытый ими код был обупликован, но спустя некоторое время появился хакерский эксплоит, действующий аналогично, однако использующий совсем другую структуру исходного кода. В Secunia советуют внимательно относиться к ресурсам, с которых пользователи загружают картинку в графический редактор, так как Adobe еще не выпустила "противоядия". На данный момент, специалисты Adobe изучают уязвимость и вовсю работают над ее ликвидацией. Под ударом может оказаться абсолютно любой пользователь, использующий Photoshop указанной версии, поскольку никаких обновлений от Adobe пока что не поступало.

 

TECHLABS

Инцидент с китайским отделением Yahoo! удивляет отношением вызывает недоумение. Напомним, что китайское представительство Yahoo! обвиняется в нарушении авторских прав музыкальных производителей. Истицами стали крупные звукозаписывающие компании EMI, Sony BMG, Warner и Universal. Гиганты музыкальной индустрии требуют от Yahoo! $710.7 млн. С 10 апреля 2006 года компания Alibaba, являющаяся родительской компанией Yahoo! China, выдала 223 ссылки на нелегальное скачивание музыки, рингтонов и так далее, в результате поисковых запросов. Рассмотрение иска будет проходить в Пекинском суде второй инстанции. Ответчик, настаивает на том, что поисковая система отображает содержимое Интернет по поисковым запросам, поэтому нести ответственность за результаты поисковых запросов не будет, поскольку на сайте самой компании никогда не размещались ссылки на скачивание нелегального контента. Стоит заметить, что это не первый "китайский инцидент": в 2005 году китайские звукозаписывающие фирмы подали иск против крупнейшей локальной поисковой системы Baidu. Однако тот прецедент не так и не дошел до суда, чего нельзя сказать об этом, поскольку лейблы мирового уровня проводят очень строгую политику по борьбе с нелегальным скачиванием своего контента. В результате разбирательства китайского подразделения Yahoo! со звукозаписывающими лейблами суд Пекина постановил убрать из поисковой базы компании все ссылки на сайты, которые бесплатно распространяют музыку. Кроме того, компания обязана выплатить компенсацию в размере 200 тыс юаней (приблизительно $27 тыс). В постановлении сказано, что Yahoo! China не несет ответственность за распространение пиратского контента и, как ни странно не нарушает авторских прав, поскольку все материалы находятся на серверах сторонних владельцев (что не соотносится с признанием ее виновной). Китайское представительство сообщило, что не довольно исходом дела, поэтому собирается подать апелляцию. "Владельцы поисковых сервисов не могут нести ответственность за контент, размещенный на посторонних веб-сайтах", - заявили в Yahoo! В подтверждение своей невиновности они привели процесс с локальным поисковым движком Baidu, когда дело решилось в пользу поисковой компании. Получается, что любая поисковая система может обвиняться в содействии распространению пиратского контента, выдавая ссылки на сайты, которые их действительно распространяют. Если звукозаписывающие компании считают действия китайского представительства Yahoo! пособничеством, то возможно, что многим поисковым системам придется держать "ухо в остро", поскольку ситуация может повториться и на Большой Земле. 

TECHLABS

Отвлечемся от дрязг Yahoo! China и вернемся к Adobe Systems. В последнее время, создатели Photoshop стараются быть на виду, поскольку Microsoft хочет наступить компании на пятки, выпустив на свет замену технологии Flash в виде проприетарной Silverlight. Возможно, что именно из-за этого в стане Adobe было принято решение обнародовать исходный код приложения Flex.В состав пакета войдут языки, применяемые для создания Flex-приложений, MXML и ActionScript 3.0, элементы UI, компилятор кода и библиотека классов. Пакет будет публиковаться в соответствии с Mozilla Public License, которая является одной из лицензий по публикации свободного программного обеспечения. Комплект доступен для скачивания уже сейчас, в то время как обнародование кода Flex SDK будет производиться постепенно. В июне планируется открыть доступ к базе учета ошибок, которые были обнаружены во Flex, а также появится возможность их исправления. Для своевременного получения новостей обновлении платформы, подписчики будут получать новые версии обновлений кода. Центральный репозитарий кода будет создан в конце 2007 года, причем изменения в него сможет внести любой желающий. Однако среду разработки Flex Builder, Adobe планирует распространять платно и в дальнейшем.

 

Сегодняшний дайджест хотелось бы закончить парой скриншотов творения рук Арам Бартхолл (Aram Burtholl) и его помощников. Немецкий художник установил маркеры из Google Maps прямо на улицах Берлина.  Маркеры сконструированы из деревянной рамы, на которую была натянута розовая ткань, оформленная точно так же как и оригинальный маркер Google. 

TECHLABS

 

В Google еще не давали комментарии по поводу "креатива" Бартхолла, ровно как никакой реакции от властей Берлина. Огромные розовые маркеры в реальном времени выглядят несколько аляповато, однако, если идея будет одобрена правообладателями маркеров и немецким правительством, то вполне возможно, что на Google Maps маркеры будут самыми что ни на есть реальными. Дополнительные фотографии по установке большой розовой лампочки с буквой А внутри, можно увидеть здесь. Поскольку на таком расстоянии маркер кажется продуктом работы в любом профессиональном фоторедакторе, создатели "розовой лампочки" запечатлели сам процесс установки маркера.

TECHLABS

На этой позитивной ноте мы завершаем наш сегодняшний софтверный дайджест. События следующей недели читайте в Software Digest #4, как обычно, в субботу.

|| Комментарии на форуме 0
Оставить комментарий