Mēneša arhīvs: novembris 2004

Internet Explorer IFRAME bufera pārpildīšanas ievainojamība

Pasaules portālus atkal pāršalca ziņa par kārtējo bīstamo Internet Explorer ievainojamību. Šoreiz gan tā tiek klasificēta kā ārkārtīgi bīstama IFRAME birkas ievainojamība. Detalizētāks apraksts ir atrodams CERT lapā.

The vulnerability is caused due to a boundary error in the handling of certain attributes in the <IFRAME> HTML tag. This can be exploited to cause a buffer overflow via a malicious HTML document containing overly long strings in the “SRC” and “NAME” attributes of the <IFRAME> tag.

Successful exploitation allows execution of arbitrary code.

The vulnerability has been confirmed in the following versions:
* Internet Explorer 6.0 on Windows XP SP1 (fully patched).
* Internet Explorer 6.0 on Windows 2000 (fully patched).

NOTE: This advisory has been rated “Extremely critical” as a working exploit has been published on public mailing lists.

Šī ievainojamība neskar Windows XP SP2 lietotājus. Tā vien šķiet, ka tā ir labi apmaksāta reklāma, lai motivētu lietotājus migrēt uz Windows XP un likt pēdējo servisa paku…

Papildināts
Lūk arī exploits, kas zināmā mērā ir kaitīgs arī Firefox lietotājiem, jo piedzen pilnu virtuālo atmiņu, bet savādāk neko ļaunu nespēj izdarīt.

Draugiem.lv problēmas ar autorizāciju

Viens no Latvijas populārākajiem draugu vortāliem ir saskāries ar kārtējām problēmām. Šoreiz kaut kādu apsvērumu dēļ tika aizmirsta draugiem.lv/admin/ daļa un tajā nebija uzlikta autorizācija kā rezultātā šī direktorija bija pieejama publiskai apskatei. Grabber raksta, ka par šo problēmu viņš jau pirms 24h bija informējis lapas administrāciju, bet līdz šim brīdim nekas netika labots un tad nu viņš nolēma to nosūtīt Pods.lv, lai lietas izkustētos uz priekšu. Līdz šim tas ir nostrādājis ar citiem līdzīgiem gadījumiem.

Draugiem.lv administrācijas daļa

Protams, es kā ziņkārīgs cilvēks, kas nekad nebija lietojis Draugiem.lv, jo tas šķita pārāk gļukains veidojums, lai tajā reģistrētos un uzticētu savus personas datus, uzskatīju par interesantu nodarbi paložņāt pa šo administrācijas daļu. Šajā gadījumā tā nevar tikt uzskatīta par krimināli sodāmu darbību, jo netiek pārvarēti šķēršļi tā kā tādu vienkārši nav.

Lasīt tālāk

Thunderbird 0.9

Ir iznākusi jauna versija vienam no progresīvākajiem bezmaksas e-pasta klientiem Thunderbird 0.9. No būtiskākajiem jauninājumiem būtu vērts pieminēt vēstuļu grupēšanu. Spriežot pēc Bugzillas ierakstiem, šī iespēja, vai arī pati ideja, ir nokopēta no Microsoft Outlook, tā kā es pats nelietoju ne vienu, ne otru, tad arī nemācēšu teikt kā tur ir patiesībā.

Thunderbird Message Grouping

Otra lieta ir meklējumu rezultātu saglabāšanas iespēja. Nu un visādi sīki labojumi.

Lejupielādēt:
Thunderbird Setup 0.9 (Windows) 5 900KiB
Thunderbird Setup 0.9 (Linux) 10 152KiB

Adobe met skatienu uz Linux pusi

Slašdotā ir iemesta saite uz News.com rakstu par to, ka Adobe met skatienu uz Linux pusi.

Two job postings reveal some of the company’s intentions. Adobe wants to hire a director of Linux market development to “identify and evaluate strategies for Adobe in the Linux and open-source desktop market” and to identify projects that “will help improve Linux as a desktop environment.” The employee also will “develop strong business relationships with leading Linux distributors and partners.”

Lai vai kā, bet priecāties tā kā būtu pāragri, jo izskatās, ka Photoshops Linuxam, tomēr tik ātri vien netaps, jo tirgus esot pārāk mazs. Tā kā nāksies vien turpināt bakstīties ar kokaino GIMP vai arī emulēt vidi, lai palaistu Photoshopu.

However, Pam Deziel, an Adobe director of product marketing, did say the company doesn’t think there are enough customers today to justify selling Linux versions of its flagship Photoshop or Illustrator graphics programs.

CSDD lapa nomainījusi seju

Vakar savu seju ir nomainījusi CSDD lapa. Tā izskatās, ka lapu, visticamāk, ir veidojuši saviem spēkiem, tad nu nāksies vien samierināties ar to, kas ir sanācis.

CSDD

Apbēdināja tas, ka vairs neatradu kalkulatoru ar kuru varēja noteikt cik jāmaksā par kādu konkrētu auto. Ievadot auto reģistrācijas numuru varēja uzzināt cik būs jāmaksā par pārreģistrāciju, ikgadējo nodevu utt. Tāda rotaļa vien bija, bet interesanti. Patiesībā tas bija vienīgais, ko es tajā lapā kādreiz lietoju, kad reizi gadā tur iegriezos.

Lasīt tālāk

Delfi palaidis savu meklētāju – smart.delfi.lv

Ja pirms vairāk kā mēneša mums bija eksluzīva iespēja notestēt Delfu meklētāja jēlo testa versiju, tad šodien jau varam ievērtēt to kāds tas izskatās fināla variantā – smart.delfi.lv.

Delfu meklētājs

Bez parastās versijas ir pieejama arī izvērstā meklēšana. Ir pieejama arī detalizēta pamācība par to kā pilnvērtīgi izmantot šo meklētāju.

Vismaz beidzot būs iespēja meklēt arī Delfu ziņu arhīvā, kas līdz šim bija lielākais trūkums šim kā arī citiem lieliem portāliem.

SPRK pieķērās domēna vārdu noteikumiem

LongT vērsa uzmanību šim te rakstam, kas publicēts Delfos.

Sabiedrisko pakalpojumu regulēšanas komisija (SPRK) izstrādājusi noteikumu projektu, kas noteiks kārtību, kādā tiek reģistrēti domēna vārdi augstākā līmeņa domēnā “.lv”.

Noteikumu projekts paredz, ka domēna vārdu reģistrēšanu veic reģistrs. Tas būs Interneta piešķirto vārdu un skaitļu korporācijas (ICANN) atzīta fiziska vai juridiska persona, kas ne tikai reģistrē domēna vārdus, bet arī uztur to datu bāzi un nodrošina sistēmas pilnvērtīgu un nepārtrauktu funkcionēšanu un pieejamību.

Latvijā domēna vārdus reģistrē Latvijas Universitātes Matemātikas un informātikas institūts.

Sīkāk par šo noteikumu projektu var palasīt SPRK lapā. Man kaut kā šķita, ka principā nekas būtiski nemainīsies, ja nu vienīgi tagad SPRK pieskatīs NIC darbu tā kā tas ir vienīgais domēna vārdu reģistrators Latvijā jeb citiem vārdiem sakot monopolists. Tīri teorētiski mums parādās iespēja pasūdzēties SPRK, lai tas izdarītu spiedienu uz NIC, ja pēdējais mums dara pāri.

NetBSD jauns logotips

NetBSD, viena no Unix-tipa operētājsistēmām, ir tikusi pie jauna logotipa. Kopā ir piedalījušies 238 mākslinieki ar 400 logotipu variantiem no kuriem ir izvēlēts viens.

The old logo of The NetBSD Foundation was created by Shawn Mueller in 1994, it was replaced by the new “flag” image created by Grant Bisset in 2004.

NetBSD

Principā man kaut kā automātiski radās jautājums – kāpēc bija jāmaina logotips. Izrādās viss nebija tik vienkārši kā gribētos.

The following problems have been identified with the current identity:
* Too complicated.
* Hard to reproduce.
* Has negative cultural, and religious ramifications.

NSA dalās konfigurēšanas pieredzē

Jāzeps raksta:

Sitepoint.com OpenSource blogā ir ieraksts par to, ka ASV Nacionālās drošības aģentūras (NSA) džeki daļu savu zināšanu (par kurām esam iedomājušies noskatījušies Holivudas trillerus) netur slepenībā, bet publicē – Security Configuration Guides.

Daži no tur atrodamajiem linkiem ved uz Microsoft.com, bet daži – uz viņu pašu taisītajiem. Diezgan iespaidīgi, ka tāda organizācija publiski dalās zināšanās.

Kas vēl interesants? Ja tic failu paplašinājumiem uz tā servera, tad viņi neslēpj, ka lieto Macromedia Coldfusion. Ja tic, ka tie materiāli apstiprina viņu izmantotās vides, tad tā ir viena sasodīti liela reklāma Microsoft produktiem.

Firefox reklāma New York Times pirmajā lapā

Pirms nepilnām divām nedēļām tika uzsākta kampaņa – Firefox reklāma New York Times pirmajā lapā. Kampaņas galvenais uzdevums bija savākt cilvēku naudiņu par ko pēc tam nopirktu avīzes New York Times pirmās lapas reklāmas lauku un izvietotu tajā Firefox reklāmu kā arī visu ziedotāju vārdus.

Firefox in NYT

Principā šāda veida kampaņa ir diezgan unikāls gadījums, jo parasti jau reklāmas izvieto kompānijas ar mērķi no tā gūt pēc tam peļņu, pārdodot savas preces vai pakalpojumus. Šajā gadījumā reklāmdevējs ir Mozilla kopiena, kur lietotāji ziedo savu naudu, lai popularizētu atvērtā koda produktu. To varētu pielīdzināt reklāmām par veselīgu dzīves veidu, vai arī kādu citu līdzīga tipa reklāmu.

Lasīt tālāk