Irán blokkolja az titkosított forgalmakat

Iráni netezők az elmúlt héten a forgalomblokkolás jelentős növekedéséről számoltak be. A hírek szerint az állami kontroll alatt álló szolgáltatók félbeszkítják a népszerű külföldi kommunikációs szolgáltatásokhoz - pl. Facebook, Twitter, GMail, Hotmail -  indított SSL/TLS kézfogásokat, meggátolva ezzel a titkosított és hitelesített kommunikációt. A hivatalos álláspont szerint persze minden a legnagyobb rendben van, hiszen a szolgáltatások nyílt csatornán továrra is elérhetőek - más kérdés, hogy így a titkosszolgálat gond nélkül belehallgathat a kommunikációba. A blokkolt tartalmak között van a Tor Project weboldala is. A projekt azt kéri az Internet közösségétől, hogy állítsanak üzembe minél több obfuszkációs proxy-t melyek segítségével az irániak továbbra is hozzáférhetnek a Tor hálózathoz.

Sandboxolt Flash Player a Firefoxhoz

Hogy ne csak rosszat mondjunk szegény Adobe-ról :) Béta állapotba került a Firefox-hoz szánt Flash Player alacsony integritási szinten futó, "védett módú" változata. Ez a verzió az Adobe Reader X-ével megegyező védelmet nyújt a lejátszó számára. Az Adobe Reader X-hez megjelenése óta nem találtak a sandboxból kitörni képes kártevőt, reméljük hasonló változás áll majd be a Flash esetében is - bár sajnos jó esély van arra, hogy a védett módú szoftverváltozatok piaci részesedésének növekedésével a malware fejlesztők is összekapják majd magukat.

MySQL 0-day

Erős fejvekerásra ad okot az Intevydis bejelentése, amely arról szól hogy a White Phosphorus exploit csomagot egy, a MySQL 5.5.20-as változatának debianos kiadását érintő 0-day exploittal bővítették. Bár ennél több információ gyakorlatilag nem áll rendelkezésre, tudni kell, hogy az Intevydis-nél nem pehelysúlyban játszanak.

Egy éves múlt a Google hibavadász programja

Minden tekintetben nagy siker a tavaly novemberben első évét betöltött Google Bug Bounty program - olvasható a cég online biztonsággal foglalkozó blogján. A cég több mint 410.000 dollárt fizetett ki 730 hibajegyért, és további 19.000-et a bejelentő kérésének megfelelően jótékony célra fordított. A cég a program Chromium OS-re történő kiterjesztését is tervezi, és más vállalatokat is hasonló projektek beindítására bíztat. 

Novell

Ennek a Full-Disclosure-re érkezett levélnek a tanúsága szerint a Novellnél sem mindig tudják, hogyan kell védekezni a hely file include hibák ellen. 

ENSZ

Csekélyértelmű szkriptsuttyók megint bementek az ENSZ-hez. Úgy látszik, azokat a 2008-as SQL injection hibákat még mindig nem sikerült kijavítani...

Változó szelek SSL fronton

A Google az OCSP támogatás megszüntetését tervezi a Chrome böngészőben. Mivel a felhasználói élmény kielégítése érdekében a böngészők akkor is betöltik a hitelesítésre váró oldalakat, ha a visszavonási információk nem elérhetők, így a rendszer "csak akkor nem működik, amikor szükség lenne rá". A jelenlegi elképzelés szerint a visszavonási listák a Chrome frissítési mechanizmusát használva jutnak majd el a böngészőkbe.

Eközben Moxie Marlinspike a CSO Interchange konferencián az általa fejlesztett Covnergence támogatására igyekezett rávenni a böngészőgyártókat. Ebben a rendszerben a tanusítványra vonatkozó információk több "irányból", más-más hosztokról is ellenőrzésre kerülnek, így egyetlen kommunikációs csatorna kompromittálása nem elegendő a kliens átveréséhez.

Véget ért a Debian GNU/Linux 5.0 "Lenny" biztonsági támogatása

trey@HUP:

Francesca Ciceri pár nappal ezelőtt jelezte a debian-annouce@ levlistán, hogy egy évvel az Debian 6.0 "Squeeze" bejelentése után, 2012. február 6-án a Debian GNU/Linux 5.0 "Lenny" biztonsági támogatása véget ért. A bejelentés elolvasható itt.

Jövő héten frissít a Microsoft

Töltsetek kávét a WSUS szerverbe, jövő héten jön a frissítőkedd, 21 hibajavítással, melyek közül négy kapott kritikus besorolást. Kis frissítés: A Symantec eddig ismeretlen, célzott támadásokhoz használt Office exploitot észlelt. A megcélzott sérülékenységet a Microsoft az MS11-073-al már javította - meglepő módon egy sima DLL hijacking problémáról van szó.

Végül a várva várt Hacktion, bug bounty programokkal, és giroszkópos PIN-kód töréssel :)