Tag Archive for 'bug'

« Previous Entries
Next Entries »

Wordpress 2.0.7

Published by
Michał Osmenda
2007-01-16 in Blog. Comments Tagi: , , , ,

Czy zauważyliÅ›cie jakieÅ› zmiany na moim blogu w ciÄ…gu ostatnich 11 dni? Zapewne nie, ale w tym czasie aktualizowaÅ‚em Wordpress’a aż dwa razy!
Równo 11 dni temu ukazała się wersja 2.0.6, którą zainstalowałem prawie tego samego dnia co release. Dzisiaj, równo po 11 godzinach od ukazania się 2.0.7, blog działa już na nowym silniku.

W stosunku do 2.0.6 w najnowszej wersji nowe są tylko następujące pliki:

  • wp-admin/inline-uploading.php
  • wp-admin/post.php
  • wp-includes/classes.php
  • wp-includes/functions.php
  • wp-settings.php
  • wp-includes/version.php

Poprawiono kilka bugów i uciążliwości.

Code injection

Published by
Michał Osmenda
2007-01-08 in Bezpieczeństwo and Dev. Comment Tagi: , , , ,

JakiÅ› czas temu oglÄ…daÅ‚em wystÄ…pienia z ostatniej konferencji BlueHat, byÅ‚o to chyba z wiosny 2006. Dość dobrze zapamiÄ™taÅ‚em wystÄ…pienie Caleb’a Sima z SPI Dynamics dot. wykorzystywania dziur w aplikacjach webowych, tzw. code injections i temu podobnych.

ZapamiÄ™taÅ‚em to dość dobrze dlatego, że kiedy w 2001 roku tworzyÅ‚em stronÄ™ dla dużej firmy, w caÅ‚oÅ›ci opartej na PHP+SQL, code injection byÅ‚o czymÅ› na co w ogóle nie zwracaÅ‚em uwagi. Konwersja i sprawdzanie stringów, które bezpoÅ›rednio byÅ‚y wplatane w SQL, jakoÅ› nie byÅ‚y potrzebne … nikt nie zwracaÅ‚ na to uwagi. Strona dziaÅ‚aÅ‚a przez okoÅ‚o 2 lata, aż obsÅ‚uga zostaÅ‚a przejÄ™ta przez pewien duży portal i zostaÅ‚a (prawdopodobnie, mam nadziejÄ™) napisana od nowa.
A piszę to dlatego, że przeglądając dzisiaj bugtraqa znalazłem opis code injection w oprogramowaniu pewnego sklepu internetowego. I znów przeszły mnie ciarki, kiedy sobie przypomnę jak 6 lat temu się programowało.

Bug w Wordpress 2.0.5

Published by
Michał Osmenda
2006-12-29 in Bezpieczeństwo and Dev. Comment Tagi: , ,

Problem tkwi w procedurze get_file_description() z pliku templates.php. Bug pozwala użytkownikowi mającemu dostęp do templates.php osadzić kod HTML/JavaScript, który może zostać wykonany przez administratorów.
Szczegóły: WordPress Persistent XSS (templates.php) na blogu SecuriTeam

Informacje: WordPress trac; bug został poprawiony w poprawce do wersji 2.0.5

Znak “#” w nazwie katalogu a pliki CHM

Published by
Michał Osmenda
2006-08-07 in Dev and Windows XP. Comments Tagi: , , ,

Zrób tak jak ja: stwórz sobie katalog C# w dowolnym miejscu, choćby na Pulpicie, wkopiuj tam Twoje projekty, koniecznie z plikami CHM. Spróbuj teraz wywołać z Twojej aplikacji pomoc. Co? Nie działa? Widzisz: Page cannot be displayed? A to niespodzianka!
A teraz zmień nazwę katalogu C# na CSharp. Uruchom pomoc raz jeszcze. Zdziwiony? Ja też byłem!

KB319247 - BUG: No Text or Access Violation Error When Reading a Help File opisuje wÅ‚aÅ›nie taki przypadek. RozwiÄ…zaniem jest zmiana nazwy katalogu, tak by nie używać znaku “#”. Z ciekawostek powiem, źe nie znalazÅ‚em otwartego buga w korporacyjnym Bugchecku opisujÄ…cego ten problem. A dÅ‚ugo szukalem …

Update:
Źle szukałem. Bug został znaleziony.

Update 16/04/2008

Bug doczeka siÄ™ rozwiÄ…zania w kolejnej wersji… Windows.

Blue Pill

Published by
Michał Osmenda
2006-08-06 in Beta, Bezpieczeństwo, Microsoft, Windows Vista and x64. Comments Tagi: , , , , ,

Wszystkie do tej pory znane backrodoory czy rootkity opierały się na jakiejś prostej zasadzie działania, jakimś jednym pomyśle - tym samym, który był później znajdywany i w ten sposób malware był unieszkodliwiany.

A teraz wyobraź sobie malware, który nie ma reguÅ‚ dziaÅ‚ania, nie da siÄ™ go wykryć, nawet mimo znanym powszechnie algorytmom. A teraz wyobraź sobie, że ten kod dostaje siÄ™ w publiczne rÄ™ce …

Joanna Rutkowska, specjalistka w dziedzinie bezpieczeÅ„stwa systemów od kilku miesiÄ™cy pracuje nad technologiÄ… zwanÄ… Blue Pill (Niebieska PiguÅ‚ka), technologiÄ… niewykrywalnego malware. PomysÅ‚ wydaje siÄ™ być prosty: wszczepiany w system kawaÅ‚ek kodu “wirtualizuje” system operacyjny - on sam staje siÄ™ goÅ›ciem kontrolowanym przez “niebieski” kod. W przeciwieÅ„stiwe do Neo z filmowego Matrix, który “budzi siÄ™” w nowym Å›wiecie, tutaj obywa siÄ™ to nawet bez restartu zarażonej maszyny (on-the-fly)!
Podwaliny Niebieskiej Pigułki już powstały - AMD opracowało technologię wirtualizacji zwaną SVM/Pacifica.

Kilka szczegółów: ze względu na specyfikę wirtualizacji, Niebieska Pigułka nie zadziała na maszynach i systemach x86 - jedynie x64; technologia nie wykorzystuje żadnej dziury w systemie!; jako pierwszy system operacyjny, który został poddany działanion Niebieskiej Pigułki był Windows Vista x64 (prezentacja odbyła się na tegorocznej Microsoftowej konferencji Black Hat [link do strony konferencji]), jednak twórczyni nie widzi przeszkód w implementacjach na 64-bitowych platformach Linuxowych czy BSD.

But Fathi, VP w Microsoft od spraw bezpieczeństwa zapewnił jednak, że wykorzystywana przez Rutkowską wersja Windows Vista x64 była wersją beta zawierającą bugi i następne wersje nie będą już podatne na ataki Blue Pill.

Miejmy nadzieję, bo niedługo możemy wszyscy obudzić się w Matrixie.

Źródło: eweek, bink, blog autorki

« Previous Entries
Next Entries »

Kalendarz

lipiec 2008
P W Åš C P S N
« czerwca    
 123456
78910111213
14151617181920
21222324252627
28293031  

Disclaimer

All postings are provided "AS IS" with no warranties, and confer no rights. This weblog does not represent the thoughts, intentions, plans or strategies of Microsoft or any other company or organization. Because a weblog is intended to provide a semi-permanent point-in-time snapshot, you should not consider out of date posts to reflect current thoughts and opinions.
All rights reserved. Quotations from this blog require author's written approval.
PL: Wszelkie prawa zastrzeżone. Cytaty z tego bloga wymagają pisemnego zezwolenia autora.

Add to Technorati Favorites

RSS RSS Feed