Apple lapper 65 sårbarheder i iPhone og iPad

Mere end 30 kritiske sårbarheder i din iPhone. Den nye iPad rammes hår

Computerworld News Service: Som en del af mandagens store iOS 4-opgradering har Apple lappet hele 65 sårbarheder i iPhone, hvoraf mere end halvdelen var kritiske. 
Apple udsendte iOS 4 til iPhone 3GS og anden og tredje-generations iPod Touch i mandags. 
Første generations iPhone og iPod Touch kan dog, ligesom den meget nyere iPad, være sårbar over for en eller flere af de 65 sårbarheder. 
Næste opdatering først til efteråret
iOS 4, som blev lanceret i denne uge, kan ikke installeres på iPhone eller iPod Touch fra 2007, og der er ingen planer om en opdatering før til efteråret. 
Antallet af sårbarheder udgør en rekord for Apples iPhone, som tidligere højest har rettet 46 fejl på en gang. Det var til iPhone OS 3.0 sidste sommer. 
Det nye styresystem var tidligere kendt som iPhone OS 4, og det bidrog med 35 sårbarheder, eller 54 procent af dem, der blev beskrevet som "afvikling af arbitrær kode."
Det er Apples måde at fortælle, at sårbarheden er kritisk og kan bruges til at overtage kontrollen med en iPhone eller en iPod Touch. 
Ulig andre software-producenter, som for eksempel Microsoft, har Apple ikke karaktersystem for sårbarheder. 
De fleste af de rettede sårbarheder fandtes i WebKit, som er den open source-baserede browser engine, der kører Safari på Apples mobile enheder, såvel som Safari til Mac OS X, Windows og Googles browser Chrome. 
Blandt de 50 WebKit-sårbarheder i iOS 4, der nu bliver taget hånd om, findes også den, som det to mand høje hold bestående af Vincenzo Iozzo og Ralf-Philipp Weinmann, brugte til at hacke Apples iPhone 3GS på fem minutterunder hacker-konkurrencen Pwn2Own, som fandt sted i marts måned. 
TippingPoint's fejlfindingsprogram Zero Day Initiative (ZDI) betalte de to forskere næsten 95.000 kroner - det højeste beløb nogensinde udbetalt under det fire år gamle Pwn2Own - for Safari-fejlen og for den exploit, de brugte til at bryde ind i iPhonen med. 

Apple har rettet den samme fejl i desktop-udgaven af Safari den 7. juni, da hele 48 sårbarheder blev lukket som en del af Safari 5. 

De 15 opdateringer, der ikke har med WebKit at gøre, inkluderer blandt andet et par stykker til password-locking i iPhone og iPod Touch. 

Apple har tidligere oplevet en del problemer med netop denne funktion. 

I august 2008 opdagede en forsker, at Apple havde glemt at lappe en sårbarhed, der gør det muligt for folk at komme omkring password-låsen bare ved at trykke på funktionen "nødopkald" på selve password-skærmen for derefter at dobbeltklikke på ikonet "hjem." 

Fejlen blev rettet i januar 2008, men dukkede op igen i iPhone 2.0, hvorefter Apple rettede den igen en måned senere. 

Den ultimative sikkerhedsguide til Windows 7

 

Computerworld News Service: Windows 7 er blevet varmt modtaget, også af erhvervslivet, med det resultat, at mange it-administratorer nu kæmper med den nye platforms sikkerhedsfunktioner. 

Ud over ændringer i Kontrol af brugerkonti (UAC), BitLocker og andre funktioner fra Windows Vista, så introducerer Windows 7 en række nye sikkerhedsfunktioner, som er brugbare i erhvervslivet.

Windows 7 er forbedret i forhold til Vista med eksempelvis en UAC-funktion, der er væsentligt venligere indstillet, en mulighed for at kryptere flytbare medier og harddiske, bredere understøttelse af stærk kryptering, problemfri og sikker fjernadgang og sofistikeret beskyttelse mod malware, såsom trojanere med AppLocker.

Sådan bruger du det bedst
Vi gennemgår i de næste dage disse og andre væsentlige sikkerhedsforbedringer i Windows 7 og anbefaler, hvordan man bedst konfigurerer og bruger dem. 

Der vil i det følgende i særlig grad blive fokuseret på den nye funktion til applika­tionskontrol, AppLocker, som kan vise sig at blive en Windows-centreret it-afdelings mest praktiske og økonomiske måde at bekæmpe trojanere, der udnytter såkaldt social engineering på.

Windows 7 har bogstaveligt talt hundredvis af sikkerhedsændringer og -tilføjelser - langt flere, end hvad der er plads til at komme ind på i disse artikler. 

Selvom denne guide har fokus på de funktioner, som de fleste organisationer vil være interesseret i, så hold for øje, at der sikkert også er andre funktioner, der har fortjent din opmærksomhed.

Som nogle få af de større, der ikke er blevet plads til i denne guide, kan nævnes den indbyggede understøttelse af chipkort og biometrisk genkendelse, muligheden for at gennemtvinge brug af Kerberos med funktionen Restrict NTLM samt understøttelse af de nye standarder DNSSec, der i stigende grad bliver nødvendige for at forhindre DNS-angreb. 

Derudover kan fremhæves en funktion ved navn Extended Protection for Authentication, som forhindrer mange sofistikerede man-in-the-middle-angreb, der ellers kan ramme nogle af vores mest pålidelige sikkerhedsprotokoller som eksempelvis SSL og TLS. 

 

Succes-outsourcing: Den irske helpdesk taler dansk Hvad får it-interesserede danskere til at flytte til Irland, og har irerne et service-gen, som danskere mangler?

 

Læsernes dom: NemID er noget forbandet bras læsere vil beholde den Digitale Signatur.