Trwa zła passa amerykańskiego giganta. Tym razem z firmy wyciekła beta wersja, nowej wersji (6) przeglądarki Internet Explorer. Oprogramowanie było i jest dostępne w wielu miejscach w Internecie.
Po zeszłotygodniowych kłopotach związanych z usługami internetowymi, tym razem w tajemniczy sposób wyciekło z firmy oprogramowanie, nad którym ona pracuje. Oprogramowanie było już rozesłane do testerów, z których każdy podpisał oświadczenie o zachowaniu tajemnicy. Nowa wersja IE ma być częścią składową nowego systemu operacyjnego Whistler, który oficjalnie ma się pojawić dopiero w druiej połowie roku. Firma prowadzi dochodzenie w jaki sposób doszło do wycieku. Oczywiście firma próbuje powstrzymać swobodną dystrybucję oprogramowania,żądając jego usunięcia z różnych serwerów, ale jak wiadomo tego typu akcja jest w praktyce skazana na niepowodzenie. Jak pokazuje doświadczenie, możliwości jest wiele: testerzy (umyślnie lub nie), pracownicy, włamanie, o którym nikt nie wie, albo włamanie, o którym wszyscy wiedzą czyli to z października ubiegłego roku. W jego trakcie, jak sam przyznał MS, nastąpił dostęp do danych projektowych.

http://www.vnunet.com/News/1116973

Jednym głosem, zgodnie, wszyscy eksperci alarmują o poważnym zagrożeniu jakie pojawiło się w Internecie. Zagrożeniem tym są cztery nowe, poważne słabości systemowe w oprogramowaniu BIND, które to oprogramowanie odpowiada za obsługę serwisu DNS w pokaźnej części sieci Internet.
Jeszcze w grudniu Network Associates Inc. (NAI) wykryło słabości w oprogramowaniu BIND i powiadomiło o nich Internet Software Consortium, które zarządza oprogramowaniem . W dniu wczorajszym zarówno NAI jak i CERT Coordination Center opublikowały ostrzeżenia wraz z podaniem rozwiązań i wskazaniem odpowiednich patchy. Dwie ze słabości dotyczą tzw. buffer overflow (przepełnienie buforu) i mogą być niezwykle groźne, nie wyłączając możliwości przejęcia praw administratora systemu, na którym jest zainstalowany BIND, a dodatkowo czynić oprogramowanie zupełnie nieodpornym na ataki Denial of Service. Nie wyklucza się, że hakerzy mogą wykorzystać dziury w systemach do propagacji odpowiedniego oprogramowania i poźniejszego jego wykorzystania do przeprowadzenia ataków typu DDoS. Z atakami tego typu mieliśmy do czynienia niemalże dokładnie rok temu. Dlatego niezwykle ważne jest aby wszyscy administratorzy odpowiednio uaktualnili i załatali swoje oprogramowanie w jak najkrótszym czasie. CERT CC rekomenduje upgrade BINDa z wersji 4.9.x lub 8.2.x do nowych wersji 4.9.8, 8.2.3 lub 9.1. Miejmy nadzieję, że tym razem użytkownicy sieci zareagują szybciej i sprawniej niż zrobili to w przypadku poprzedniej poważnej słabości systemowej BINDa, na temat której CERT CC opublikował zalecenia w listopadzie 1999. W tamtym przypadku trzeba było aż ośmiu miesięcy na to aby zdecydowanie zmniejszyć ilość incydentów związanych właśnie z opublikowaną słabością.

http://www.cert.org/advisories/CA-2001-02.html
http://www.securityfocus.com/frames/?content=/templates/article.html%3Fid%3D144
http://www.computerworld.com/cwi/story/0,1199,NAV47_STO57079,00.html

Cris Evans opublikował beta wersję swojego serwisu FTP, który nazywa się vsFTPd, gdzie “vs” oznacza “very secure”. Oprogramowanie jest ogólnie dostępne, a Evans liczy na sygnały od testerów.
Wielu, poważnie myślących o bezpieczeństwie zapewne już od dawna stosuje jakieś bezpieczne rozwiązania do transmisji danych, jednak niektórzy myślą tylko o “wyeleminowaniu” usługi telnet, zapominając że usługa ftp wcale nie jest bezpieczniejsza. Dlatego wszelkiego rodzaju inicjatywy zmierzające do zmiany tej sytuacji powinny być przyjęte z zainteresowaniem. Autor jak sam pisze, nie gwarantuje pełnego bezpieczeństwa (zapewne świadom, że jest ono nieosiągalne) ale “pisał je cały czas myśląc o bezpieczeństwie”. Evens udostępnia swoje oprogramowanie i liczy, że dotrą do niego uwagi i spostrzeżenia od innych użytkowników.

http://www.linuxsecurity.com/articles/security_sources_article-2390.html