hoaxer

Wykryto lukę w Winamp (wersja 5.21 oraz wcześniejsze), która może doprowadzić do uruchomienia zdalnego kodu.

Przepełnienie bufora występuję we wtyczce Winamp, pliku in_midi.dll. Scenariusz wykorzystania wspomnianego błędu opiera się na specjalnie przygotowanym pliku MIDI. Wysłanie takiego pliku poprzez e-mail lub umieszczenie go na stronie internetowej, może narazić użytkownika do wywołanie błędu aplikacji, a w najgorszym przypadku – uruchomienie zdalnego kodu.

Zaleca się pobranie nowszej wersji oprogramowania.

Źródło informacji: CERT Polska
SecurityFocus
Fortinet.com

Microsoft opublikował 12 biuletynów bezpieczeństwa, w tym osiem określonych jako krytyczne.

Luki dotyczą Microsoft Windows, Word, PowerPoint, Media Player, Internet Explorer oraz serwera Exchange.

MS06-021 (krytyczny) – luki w IE umożliwiające zdalne wykonanie kodu (łącznie załatano 8 luk)

MS06-022 (krytyczny) – oprogramowanie odpowiedzialne za przetwarzanie obrazków ART zawiera przepełnienie bufora

MS06-023 (krytyczny) – luka w obsłudze JScript umożliwiająca zdalne wykonanie kodu poprzez stronę WWW lub plik

MS06-024 (krytyczny) – luka typu przepełnienie bufora w Windows media player podczas przetwarzania plików PNG

MS06-025 (krytyczny) – dwie luki typu przepełnienie bufora w usłudze RRAS (Routing and Remote Access Services) umożliwiają zdalne wykonanie kodu (bez konieczności interakcji z użytkownikiem). Usługa ta uruchamiana jest domyślnie tylko na Windows 2000 Service Pack 4

MS06-026 (krytyczny) – luka w Graphics Rendering Engine podczas przetwarzania formatu WMF umożliwiająca zdalne wykonanie kodu

MS06-027 (krytyczny) – luka typu przepełnienie bufora w Microsoft Word umożliwiająca zdalne wykonanie kodu

MS06-028 (krytyczny) – luka w Powerpoint umożliwia zdalne wykonanie kodu

MS06-029 (ważny) – luka w Microsoft Outlook Web Access dla Exchange umożliwia zdalne wykonanie kodu na kliencie użytkownika po kliknięciu na e-mail z odpowiednio spreparowanym skryptem

MS06-030 (ważny) – luka w SMB może pozwolić na zwiększenie uprawnień (atakujący musi dysponować poprawnymi danymi do zalogowania się i musi to wykonać lokalnie). Łata także dotyczy drugiej luki typu denial of service.

MS06-031 (średni) – luka we wzajemnym uwierzytelnieniu RPC może umożliwiać podszywanie się.

MS06-032 (ważny) luka typu przepełnienie bufora w sterowniku TCP/IP podczas obsługi pakietów z ustawionym polem source route może umożliwić zdalne wykonanie kodu.

Źródło informacji: CERT Polska

Jak podaje serwis The Inquirer, patent na łączenie baz danych z programu Microsoft Access oraz arkuszy kalkulacyjnych MS Excela nie należy już do giganta z Redmond, lecz do Carlosa Armando Amado z Gwatemali.

Zdaniem amerykańskiego sądu apelacyjnego, producent aplikacji Office skorzystał z pomysłów Amado, wobec czego powinien mu zapłacić kwotę 6,1 mln USD, z tytułu praw autorskich.

Sprawa trafiła na wokandę po raz pierwszy dokładnie rok temu i wówczas również zakończyła się pomyślnie dla Amado, który opracował technologię łączenia baz danych z Accessa i Excela podczas swoich studiów na Uniwersytecie Stanford.

Koncern Microsoft nie skomentował decyzji sądu apelacyjnego i będzie zapewne starał się złożyć odwołanie. W zeszłym roku produkty serii Office zostały uaktualnione o nowe algorytmy, które nie wykorzystują już technologii Amado.

Źródło: The Inquirer

Poważne naruszenie bezpieczeństwa wykryto na oficjalnej stronie systemu PayPal. Jak już wiadomo, błąd ten został „aktywnie” wykorzystany przez cyber-przestępców a jego ofiarą padły setki tysięcy użytkowników.

Atak został idealnie zaplanowany. Na oficjalnych serwerach PayPal oraz na oficjalnej i autoryzowanej stronie WWW tegoż systemu włamywacze spreparowali pewne istotne treści oraz linki za pomocą ataku typu XSS. Dodajmy, iż certyfikat SSL zabezpieczający stronę WWW jest jak najbardziej poprawny, gdyż jest to oficjalna strona systemu PayPal (zmodyfikowana tylko co do treści i formularzy).

Ofiara, po wejściu na stronę internetową PayPal widzi wiadomość następującej treści:

Your account is currently disabled because we think it has been accessed by a third party. You will now be redirected to Resolution Center.

Po przekierowaniu na już fałszywy serwer ofiara trafia na stronę logowania systemu PayPal, a ponieważ uprzednie certyfikaty oraz domena pokrywały się z tymi prawdziwymi (de fakto były prawdziwe), to ofiara nawet nie podejrzewa, iż PayPal może przekierować ją na sfałszowany serwer (bo i w jakim celu?).

Po zalogowaniu się ofiary, użyte ID oraz hasło są wysyłane do włamywaczy. Użytkownik jest także proszony o podanie takich danych osobowych jak m. in. numer ubezpieczenia, numery kart kredytowych oraz PINy.

Serwer, który przechowuje sfałszowaną stronę oraz wyłudzone dane osobowe znajduje się w Korei.
Źródło: Slashdot, NetCraft
Rośnie ilość fałszywych stron internetowych
Kolejne aresztowania w sprawie wyłudzeń 419
PayPal uruchomił płatności przez komórkę
Phishing za pomocą faksu – nowa forma oszustwa
PayPal dla Polaków!

Google wprowadziła szereg aktualizacji do swojego pakietu programów kartograficznych, co jest kolejnym przykładem zaangażowania Google w tworzenie narzędzi do udostępniania informacji geograficznych.

Innowacyjne rozwiązania, zaprezentowane wczoraj na żywo podczas pierwszej konferencji Geo Developer Day, organizowanej przez Google, łączą użytkowników z informacjami o otaczającym świecie, jak również odpowiadają na rosnące potrzeby programistów.

„Pierwszą rocznicę Google Earth i interfejsu API do Google Maps uczciliśmy wprowadzając nowe technologie, przeznaczone do tych produktów” – powiedział John Hanke, dyrektor Google Earth and Maps.

„W ubiegłym roku odnotowaliśmy ponad 100 milionów unikalnych pobrań aplikacji Google Earth, ponad 30 tysięcy serwisów internetowych stworzyło własne wersje map, łącząc swoje dane geograficzne z interfejsem API Google Maps”.

Nowości związane z Google Earth

Aktualizacja zdjęć satelitarnych – znacząca aktualizacja zdjęć w wysokiej rozdzielczości, znajdujących się w bazie Google Earth, zwiększa ich liczbę czterokrotnie. Dzięki temu szczegółowe zdjęcia, umożliwiające rozróżnianie obiektów o wymiarach poniżej 1 metra, dostępne są dla ponad jednej trzeciej światowej populacji. Początkowo z nowej bazy korzystać będzie tylko Google Earth, jednak wkrótce dostęp do niej uzyska także serwis Google Maps.

Nowa wersja Google Earth – pierwsza znacząca aktualizacja Google Earth od jej premiery, która miała miejsce rok temu, wprowadza ulepszony interfejs użytkownika i nowe narzędzia umożliwiające tworzenie i wyświetlanie materiałów dostarczanych przez firmy trzecie i użytkowników.

Funkcja pozwalająca dodawać teksturowane budynki oznacza nowy poziom realizmu i szczegółowości w trójwymiarowym świecie Google Earth. Aplikacja Google Earth jest teraz dostępna dla systemów Windows, Mac i – po raz pierwszy – Linux; dostępne są w pełni zlokalizowane wersje: francuska, włoska, niemiecka i hiszpańska.

Google SketchUp z teksturowanymi budynkami – równolegle z premierą Google Earth, Google SketchUp oferuje teraz mechanizm tworzenia teksturowanych budynków, które mogą być wizualizowane w Google Earth i serwisie Google 3D Warehouse.

Firma Google ogłosiła również kilka aktualizacji serwisu Google Maps i interfejsu API do Google Maps. Interfejs ten przeznaczony jest dla programistów. Jego użytkownicy w łatwy sposób dodają interaktywne, dynamiczne mapy Google do swoich serwisów internetowych.

Nowości związane z Google Maps

API do Google Maps – w odpowiedzi na uwagi programistów, którzy dzięki Google Maps tworzą własne mapy, dodając do nich informacje geograficzne, do interfejsu API do Google Maps wprowadzono mechanizm integrowania danych na podstawie adresów. Możliwość geokodowania adresów za pomocą API do Google Maps to funkcja najbardziej oczekiwania przez użytkowników API.

KML dla Google Maps – nowa funkcja Google Maps pozwala wyświetlać dane KML (Keyhole Markup Language – format pliku wykorzystywany przez Google Earth i inne aplikacji do współdzielenia informacji geograficznych) na mapach Google Maps. Dzięki temu dane stworzone w programie Google Earth mogą być wyświetlane w przeglądarce jako proste rozszerzenie Google Maps. Mechanizm KML dla Google Maps nie wymaga żadnych umiejętności programistycznych, sprawiając, że współdzielenie informacji geograficznych jest jeszcze łatwiejsze.

Google Maps for Enterprise – reagując na potrzeby firm, Google ogłosiło program odpłatnego licencjonowania i wsparcia dla firm, które chcą wbudować mechanizm Google Maps w swoje serwisy internetowe lub wewnętrzne aplikacje. Korzystając z interfejsu API do Google Maps, produkt ten pozwala firmom nanosić na mapę lokalizację klientów, śledzić przesyłki, zarządzać siedzibami lub umieszczać dowolne inne dane w kontekście geograficznym.

Źródło: informacja prasowa (MMD PR)

Firma Pretec rozpoczęła sprzedaż niezwykle wytrzymałego dysku flash o nazwie i-Disk BulletProof, który podobno jest w stanie przetrwać nawet ostrzał z broni palnej. Obudowa produktu została wykonana z dwóch, szczelnych warstw metalu, zapewniających również ochronę przed wodą oraz ogniem.

Kuloodporny pendrive oferuje również szereg zabezpieczeń wewnętrznych w postaci ochrony hasłem, czy też algorytmu kodowania danych. W sprzedaży pojawił się w kilku wersjach o pojemności od 32MB do 2GB.

Nietypowy produkt powinien zainteresować przede wszystkim osoby, których charakter pracy niesie ze sobą ryzyko postrzału. Mowa tutaj nie tylko o służbach mundurowych, ale np. o posadzie współtowarzysza polowań wiceprezydenta Stanów Zjednoczonych, Dicka Cheneya, któremu ostatnio zdarzył się niefortunny wypadek.

Źródło: I4U

Snappy Face Recognition to nowa kamera internetowa, która wyróżnia się systemem rozpoznawania twarzy, dzięki czemu może posłużyć jako system zabezpieczenia komputera przed osobami niepowołanymi.

Kamera
Urządzenie o wymiarach 80 x 40 x 18 mm zostało wyposażone w czujnik CMOS o rozdzielczości 1,3 megapiksela oraz specjalne oprogramowanie do rozpoznawania twarzy, które według zapewnień producenta zapewnia jeden z najwyższych poziomów bezpieczeństwa.

Nietypowa kamera dostępna jest w sprzedaży tylko w Europie, w cenie ok. 50 funtów. Więcej informacji można znaleźć na stronie firmy Widget

Źródło: I4U

Międzynarodowe stowarzyszenie IEEE rozpoczęło prace nad nowym standardem metek elektronicznych o nazwie RuBee, który może stać się alternatywą dla technologii RFID. Nowy system identyfikacji ma wyróżniać się m.in. pełną funkcjonalnością nawet pod warstwą folii aluminiowej.

Jak wyjaśniają przedstawiciele IEEE, impuls wysyłany przez metki RFID na częstotliwości 900MHz, w 99,99 % składa się z sygnału radiowego oraz w 0,01% z magnetycznego.

Technologia RuBee natomiast wykorzystywałaby tylko i wyłącznie ostatni rodzaj sygnału, dzięki temu oferowałby znacznie lepszą przenikliwość przez różnego rodzaju materiały i na większą odległość.

Zdaniem pomysłodawców projektu, pierwsze produkty oparte na nowym systemie pojawią się w ciągu 12 – 18 miesięcy. Technologią zainteresowały się już koncerny Tesco, HP, Intel, IBM, Sony, Panasonic, Motorola oraz NCR.

Źródło: The Inquirer

Jak podaje serwis The Inquirer, amerykański koncern Google przymierza się do oficjalnego uruchomienia nowej usługi płatności elektronicznych o nazwie Gbuy, która ma rywalizować przede wszystkim z serwisem PayPal, będącego podstawą serwisu aukcyjnego Ebay. Jak podają źródła zbliżone do firmy zakładają, system powinien ruszyć pod koniec czerwca.

Nowa usługa może zainteresować handlowców, którzy mogliby podpisać umowy z firmą Google w celu promocji pod szyldem „zaufanego sprzedawcy Gbuy”. Jak przewidują analitycy w pierwszym okresie testowym, wszelkie transakcje będą odbywały się za darmo, jednakże w późniejszym okresie Google będzie wymagał wniesienia pewnych opłat manipulacyjnych.

Zdaniem rzecznika Google, system płatności internetowych jest już od dłuższego czasu obecny w różnych usługach firmy, jak np. Google Base, Google AdWords, Google Video oraz Google Earth.

Źródło: The Inquirer