 |
HÍREK
Egyre határozottabbak az USA Belbiztonsági Minisztériuma
által kezdeményezett és támogatott – sőt már valamelyest működő –
szoftverhiba-szótár kezdeményezésének körvonalai. A Common Weakness Enumeration
(CWE) célja a szoftverproblémák hivatalos (egységes) formába öntése, illetve
közös "nyelvi platform" kialakítása a fejlesztők, hibavadászok és a biztonsági
szakértők számára, emellett azoknak az eszközöknek a pontos meghatározása,
amelyeket a biztonsági hiányosságok kezelésében egyfajta etalonnak tekintenek. A
kezdeményezés iránt máris több fejlesztőközösség és szervezet fejezte ki az
elkötelezettségét.
További információ: CWE.

Bush elnök pénteken olyan
bejelentést tett, amelyet sokan vártak kíváncsian, ugyanis a beszéd a 2013-ig
kiépítendő USA személyazonosító-rendszer terveire vonatkozott. A szisztéma
alapját képező "Real ID" elképzelés magva továbbra is a jogosítványrendszer
lesz, és a személyes adatok titkosítatlan tárolása mellett komolyan fontolgatják
az RFID-technológia alkalmazását is. Az amerikai jogvédő szervezetek a
magánszféra elégtelen védelmére hivatkozva máris a tervezet elutasítására
szólították fel az USA államait.
További információ: ZDNet.

Stefan Esser korábbi ígéretéhez híven múlt csütörtökön elindította a PHP-hibák
hónapját. Az 5 könnyed rendszerkompromittáló problémával kezdő projekt nem a
szkriptnyelv, hanem a PHP mag sebezhetőségére kívánja felhívni a figyelmet.
Esser kezdeményezése lényegesen barátságosabb a korábbi böngészős, illetve Apple
sérülékenységekre rávilágító projekteknél, mert a -> |
 |
-> guru nem a hibákra, hanem a megoldásaikra
koncentrál – így kerültek bele a listájába már ismert és kijavított problémák,
illetve ennek jegyében értesíti a talált bugokról a fejlesztőközösséget is.
További információ: PHP-hibák hónapja.

A WiFi-képes laptopok egyszerű
bekapcsolásakor számos olyan információt meg lehet tudni az eszközökről, amelyek
kiszivárgásának a tulajdonosok biztosan nem örülnek. Az Errata Security egyik
vezetője, David Maynor szerint még akkor is jelentős az adatszivárgás, ha a
vezetéknélküli hardver le van tiltva, ha pedig védelem nélküli elérési ponthoz
csatlakozik, az kész katasztrófa.
További információ: ZDNet.
 KOCKÁZATOK
Az ESET Software
NOD32 felhasználók adatszolgáltatásán alapuló ThreatSense rendszer
statisztikái szerint februárban három új vírus terjedt a legintenzívebben. A
legnagyobb fenyegetést a Win32/Nuwar.gen vírus jelentette; ez a féreg az összes
vírusfertőzés 3,63 százalékáért volt felelős. A második helyen egy trójai,
a HTML/TrojanClicker.Agent.A található, amely a böngészők sebezhetőségét
kihasználva telepít további vírusokat a számítógépekre. A dobogó harmadik
helyére az Ázsiából érkező és folyamatosan terjedő kéretlen reklámlevél, a
Win32/Adware.Yisou került.
További információ: ThreatSense/VirusRadar. itst_risk4 Az Apache
Tomcat Connectormod_jk könyvtárának puffertúlcsordulást okozó
sebezhetősége miatt az érintett rendszereken tetszőleges kód futtatására nyílik
lehetőség. Javasolt a szoftver 1.2.21-es változatára -> |
 |

-> frissíteni, mert ebben a hibát a fejlesztő már
kijavította,
További információ: Apache/Tomcat
honlap.
itst_risk2 Bizonyos IBM Lenovo ThinkPad
sorozatú laptopok hibáját rosszindulatú helyi felhasználók emelkedett
jogosultságok szerzésére használhatják ki. A problémát az Intel Pro/1000
hálózati csatoló szoftverének javítóállományával
lehet kiküszöbölni.
További információ: IBM/Lenovo.
itst_risk2 A Novell Access Manager actX.ocx
AciveX hálózati hozzáférések kezelésével kapcsolatos problémája miatt speciális
körülmények között rosszul hitelesített támadók jogosulatlan hozzáférést
szerezhetnek a hálózat erőforrásaihoz. A fejlesztő javítóállományával
a probléma kiküszöbölhető.
További információ: Novell. MÁRCIUSBAN
TÖRTÉNIK
Információvédelem menedzselése – XXV. szakmai
fórum
Időpont: 2007. március 21. 9:30-13:00.
Helyszín: Benczúr ház, Díszterem – 1068 Budapest, Benczúr
u. 27.
Téma: aktualitások az információvédelem területén; magyar
információbiztonsági szabványok 4.; biztonsági követelmények a beszállítókkal
szemben; a MAG (Magyar Gazdaságfejlesztési Központ) és a KMOP meghirdetett
pályázatainak ismertetése; hozzáférés-ellenőrzés és monitorozás a
gyakorlatban.
A Szakmai fórum az ISACA Hungarian Chapter által
támogatott rendezvény. CISA szakemberek számára pontszerzési lehetőség.
További információ: Hétpecsét
Információbiztonsági Egyesület.

|
 |