Misschien zag hij Microsoft aan voor z’n vader ;-) Even ernstig: nog geen week nadat MS de anti-Zeus detectie toevoegde aan haar MSRT komt Zeus 2.1 op de proppen en passeert hij zonder probleem de wachten. Eerste testen wezen nochtans uit dat MSRT in zeker 50 procent van de gevallen de Zbot herkende (en verwijderde). De vrees zit er nu in dat Crackers MSRT zelf ook als doelwit zullen gebruiken en sowieso korter op de bal zullen spelen omdat MSRT in eerste instantie de helft van hun aanvallen kon counteren. Langs de andere kant mogen we uiteraard niet vergeten dat MS ook niet bij de pakken zal blijven zitten.

Vorige week schreef ik al over de bug in Internet Explorer die alleen in versies 6 en 7 aanwezig is (versie 8 zal alleen maar vastlopen terwijl 6 en 7 de poort openzetten voor indringers). De bekende ‘crimeware kit’ heeft deze bug nu ingelijfd, wat MS ongetwijfeld zal aansporen om (sneller) met een patch te komen. Het feit dat de ‘Eleonore Attack Kit’ ze vandaag ook inlijfde maakt dat een update stilletjes aan dringend begint te worden (zou ik denken) maar MS geeft voorlopig 14 November als streefdatum (Dinsdag patch) en slaat de negende dus over. Volgens de grote anti-virus programma makers zijn er nog niet veel concrete aanvallen geregistreerd maar voor ingeval je zelf aan de slag wil met testen geef ik nog even het magische woord ‘Metasploit’ mee ;-)

Op de HouSecCon conferentie in Houston werd code vrijgegeven die Android 2.1 en vorige versies van het besturingssysteem over het internet kan aanvallen. Al wat het slachtoffer moet doen (!) is een website bezoeken waarin de code werd geïmplementeerd en de Cracker neemt gedeeltelijk de controle van het toestel over. Echt volledige controle en het lezen of verzenden van SMS boodschappen of telefoneren is nochtans uitgesloten, maar de Cracker heeft wel toegang tot alles waar de internet browser toegang toe heeft, inclusief applicaties en de inhoud van een eventueel aanwezige SD kaart. Voor alle duidelijk toch nog even vermelden dat versie 2.2 en hoger (die op 36 procent van de Android telefoons draait) veilig is voor deze bug. Wanneer je over een pré-2.2 versie beschikt kan je best even contact opnemen met de verkoper, provider of fabrikant van je toestel. Tenslotte geef ik ook nog even mee dat een recente audit van de Android Linux Kernel niet minder dan 359 potentiële zwakheden ontdekte waarvan een kwart zouden misbruikt kunnen worden met dezelfde soort code zoals diegene die op de HouSecCon werd vrijgegeven.

Er ontstond weer wat commotie over het onconditioneel aanvaarden van commando’s van externe programma’s door de Safari browser. Op die manier kunnen bijvoorbeeld betalende nummers opgebeld worden.., niet alleen zonder de toelating van de gebruiker maar bovendien zonder dat die iets in de gaten heeft. Safari kan andere programma’s opstarten om bepaalde URL protocollen uit te voeren. Dit kunnen zowel klikbare links als geïntegreerde iframes zijn (die een URL met een telefoonnummer kunnen bevatten). In dit geval zal de gebruiker de vraag gesteld krijgen of hij het bepaalde nummer effectief wil opbellen. MAAR: als Skype geïnstalleerd werd en de gebruiker blijft in die applicatie, dan zal Safari geen melding geven en onmiddellijk verbinding maken. Apple doet veel moeite om de veiligheid te bewaken en dat kan je terugvinden in de richtlijnen en verplichtingen die software ontwikkelaars opgelegd krijgen. De vraag die zich nu opdringt is of Apple de manier waarop de afhandeling van transacties die opgeroepen worden vanuit URL instructies mee zou kunnen voorzien in deze richtlijnen.

Ruim 134 tekortkomingen, bugs en gaten werden gedicht, waarvan 55 in Adobe Flash alleen (toch een goede 40 procent van deze bundel). Deze Woensdag was op dit gebied een absolute record dag voor Apple! In Maart werden er tenslotte ‘maar 90’ gaten gedicht ;-) Jammer genoeg kwam er eind deze week toch nog kritiek van Charlie Miller (een bekend security expert) die beweerde dat alle bugs die hij gemeld had toch nog aanwezig zijn. De grote update sloeg op OS X 10.5 en OS X 10.6 (Snow Leopard). Mac users die PGP encryptie op hun volledige harde schijf gebruiken dienen de encryptie even af te zetten voor ze de update uitvoeren. Deze upgrade is tussen de 240 en 645 MB groot en kan gedownload worden op de Apple website (of via de geïntegreerde update service).