Bug

Már aktívan kihasználják a nemrég bejelentett Java sebezhetőséget az interneten

 ( trey | 2010. április 15., csütörtök - 13:22 )

Szombaton volt szó arról, hogy biztonsági szakemberek új Java sebezhetőségekre hívták fel a figyelmet. Az egyik ilyen sebezhetőségről Tavis Ormandy, a Google biztonsági csapatának tagja számolt be a full-disclosure listán. Most Roger Thompson arról ír az AVG blogban, hogy nem sokkal a probléma és a PoC kód ismertetése után belefutottak a kódba egy orosz támadószerveren. Jelenleg úgy tűnik, hogy áldozatokat egy dalszövegeket (lyrics) kínáló oldalon próbálnak ejteni, de természetesen máshol is felbukkanhat a kód.

Javocalypse - "az utolsó szög kell legyen a Java appletek koporsójába"

 ( trey | 2010. április 10., szombat - 14:30 )

Julien Tinnes, a Google biztonsági csapatának tagja - tegnapi blogbejegyzésében arról ír, hogy Sami Koivu egy évvel azután, hogy egy rakás Java-val kapcsolatos biztonsági hibát hozott napvilágra, újra egy csokor buggal jelentkezett. De nem csak Koivu, hanem Tinnes kollégája, Tavis Ormandy is érdekes felfedezésekkel állt elő. Tinnes szerint ez már az utolsó szög kell legyen mindenkinél a Java appletek koporsójába, akinek biztonsággal kapcsolatos elvárásai vannak. Tinnes a következőket javasolja azoknak, akik nem akarják, hogy rommá törjék:

Soron kívül javítja ma az Internet Explorer sebezhetőségeit a Microsoft

 ( trey | 2010. március 30., kedd - 10:25 )

Jerry Bryant az MSRC-n tegnap bejelentette, hogy a Microsoft ma szándékozik soron kívül kiadni az MS10-018 kumulatív (több sebezhetőséget javító) biztonsági frissítést. Az MS10-018 javítást hoz a Security Advisory 981374-ben jelzett sebezhetőségre. Ez a sebezhetőség csak az IE6 és IE7 böngészőket érinti. Azonban az MS10-018 további 9 másik sebezhetőséget is javít, amelyek közül néhány érinti az IE8-at is. A részletek a blogbejegyzésben.

Akár 115 000 dollár jutalom egy Apple bugért

 ( trey | 2010. március 28., vasárnap - 14:02 )

A Forbes magazin egy cikket közölt Adriel Desautels-ről, akinek cége hajlandó akár 115 000 dollárt is fizetni egy ügyes Apple bugért. Desautels cége, a Netragard egyebek mellett azzal foglalkozik, hogy ügynöki szerepet vállal, bugokat közvetít. Megvásárolja a hibákról szóló információkat a független biztonsági szakértőktől, majd azokat értékesíti az egyre növekvő, titkos és semmiféle szabállyal sem regulázott piacon.

Húsz 0day Mac OS X sebezhetőség bejelentésére készül Charlie Miller

 ( trey | 2010. március 18., csütörtök - 19:30 )

A H Security egyik cikke szerint az ismert biztonsági szakértő, a többszörös Pwn2Own győztes Charlie Miller arra készül, hogy húsz, eddig még ismeretlen Mac OS X biztonsági hibát hoz napvilágra. A bejelentésre a jövő héten kerül sor a Kanadában megrendezésre kerülő CanSecWest biztonsági konferencián. Miller a sebezhetőségeket fuzzing technika (a támadandó alkalmazás bemeneteinek megszórása annyi érvénytelen, váratlan vagy random adattal, amennyivel csak lehetséges annak érdekében, hogy felfedjük a program lehetséges sérülékenységeit) felhasználásával fedezte fel.

A részletek itt olvashatók.

Remote root sebezhetőség a SpamAssassin Milter plugin-ben

 ( trey | 2010. március 18., csütörtök - 11:55 )

A full-disclosure lista egyik levele szerint olyan távolról kihasználható sebezhetőség találgató a SpamAssassin Milter plugin-ben, amely bizonyos beállítások mellett a támadót root jogokhoz juttathatja az áldozat rendszerén. A kihasználásához speciálisan formázott levél szükséges. A SpamAssasin Milter plugin-t előszeretettel használják SpamAssasin-hez Postfix-et futtató szervereken. Az Internet Storm Center szerint a sebezhetőséget már próbálják kihasználni az interneten. A plugin-t használóknak érdemes ellenőrizniük a konfigurációjukat. A fejlesztők már dolgoznak a hiba javításán. A részletek itt olvashatók.

0day Internet Explorer 6, 7 exploit szabadon

 ( trey | 2010. március 12., péntek - 9:04 )

A Microsoft a héten jelezte, hogy egy, az Internet Explorer 6-ot és 7-et érintő, aktívan kihasznált sebezhetőséget vizsgál. A sebezhetőséget kihasználó exploit-ot bárki elérheti az internetről, illetve illesztésre került a Metasploit Framework névre hallgató pentest eszközhöz.

Frissítették a 25 legveszélyesebb programozási hibát tartalmazó listát

 ( trey | 2010. február 17., szerda - 21:40 )

Tavaly januárban már volt szó a 25 legveszélyesebbnek nyilvánított programozási hibát tartalmazó listáról, amelyet több mint 30 cég és biztonsági szervezet állított össze. Most frissítették a listát, amelynek elkészítését az vezérelte, hogy oktassa a fejlesztőket arra, hogy hogyan óvakodhatnak ezen hibáktól. A frissített lista - amelyet a Cross-site Scripting (XSS) vezet és amelyet a versenyhelyzet (race condition) zár - megtalálható itt.

Egyszerűen áthágható a GNOME képernyőkímélő-zár openSUSE 11.2-n

 ( trey | 2010. február 13., szombat - 19:29 )

A hírek szerint az openSUSE 11.2 által szállított GNOME képernyőkímélő-zár nem tölti be maradéktalanul a funkcióját, mert illetéktelenek egyszerűen áthághatják az általa biztosított "védelmet". Olvasói jelzés után a H Security által végzett tesztek igazolták, hogy a képernyőzárral védett desktop munkamenet feloldható jelszó nélkül az < Enter > billentyű lenyomva tartásával. Az < Enter > lenyomva tartása a GNOME képernyőkímélő összeomlását okozza, majd az összeomlás után a desktop néhány másodperc múlva elérhetővé válik.

Firefox XPS bug - a Firefox sebezhetőségét kihasználva floodoltatták az IRC csatornákat

 ( trey | 2010. január 30., szombat - 23:22 )

Egy önmagukat internetes trollokként definiáló csoport - a GNAA - egy régi támadási metódust felhasználva zaklatta a napokban az IRC hálózatok csatornáit. Speciálisan összeállított weboldalak látogatóit vették rá arra, hogy tudtukon kívül IRC parancsokat hajtsanak végre. A támadásban felhasznált sebezhetőség - amely számos gyártó böngésző termékét érintette - 2001-ben bukkant fel. A Cross Protocol Scripting sebezhetőség sikeres kihasználásával a támadók különböző szolgáltatásoknak (például SMTP, NNTP, POP3, IMAP és IRC) küldhettek adatokat azon felhasználók nevében, akik a speciálisan összeállított weboldal(aka)t böngészőjükben megnyitották.

Szeptember óta tudott az IE 0day biztonsági sebezhetőségéről a Microsoft

 ( trey | 2010. január 24., vasárnap - 15:50 )

A Kaspersky Lab Security News Service egyik cikke szerint a Microsoft bevallotta, hogy szeptember óta tudott a nemrég befoltozott, a Google és az Adobe ellen indított támadásokban kihasznált Internet Explorer biztonsági sebezhetőségről. A sebezhetőségről Meron Sellen, a BugSec névre hallgató biztonsági vállalat white hat hackere értesítette a Microsoft-ot. Az MSRC-s Jerry Bryant elmondta, hogy a Microsoft tavaly szeptemberben megerősítette, valóban súlyos a sebezhetőség.

17 éves Windows biztonsági sebezhetőséget fedeztek fel, feltehetően az összes 32 bites verzió érintett az NT-től kezdve

 ( trey | 2010. január 20., szerda - 18:39 )

A Google alkalmazásában álló Tavis Ormandy egy olyan Windows sebezhetőségről számolt be tegnap a full-disclosure levlistán, amely feltehetően az összes 32 bites x86-os Windows kernel verziót érinti a Windows NT-től kezdve egészen a Windows 7-ig. A sebezhetőség potenciálisan lehetőséget nyújt a privilégiumok nélküli felhasználónak arra, hogy az tetszőleges kódot injektáljon a Windows kernelbe. Ormandy azt állítja, hogy a sebezhetőségről tavaly júniusban értesítette a Microsoft-ot, aki meg is erősítette a biztonsági szakember által megállapítottakat még abban a hónapban. Sajnálatos módon javítás azonban azóta sincs.

Publikusan elérhető az exploit az 0day Internet Explorer sebezhetőségre

 ( trey | 2010. január 16., szombat - 11:58 )

Tegnapelőtt a Microsoft elismerte, hogy egy 0day Internet Explorer sebezhetőség volt az egyik vektor, amely mentén támadást indítottak a Google és feltehetően több másik nagyvállalat ellen. A támadássorozatnak már neve is van: Operation Aurora. A szoftvergyártó egy biztonsági figyelmeztetőt is publikált, illetve azt ígérte, hogy a megfelelő minőség-ellenőrzés után a javítást terjeszteni fogja az ügyfelei számára. A vállalat közlésében az szerepelt, hogy csak korlátozott és célzott támadásokról tudnak. Ez most megváltozhat, hiszen az exploit most már szabadon kering az interneten.

Deface-elték a BerliOS nyílt forrású projekt hosting weboldalát

 ( trey | 2010. január 15., péntek - 14:14 )

A Jörg Schilling - a cdrecord hírhedt szerzője, Linux-ból kiábrándult OpenSolaris szószóló - által adminisztrált, BerliOS néve hallgató, nyílt forrású projekteket hostoló site weboldalát feltörték és deface-elték. A lecserélt weboldalon az volt olvasható, hogy az oldal 2005 óta volt feltörve.

A Microsoft elismerte, hogy 0day Internet Explorer sebezhetőséget kihasználva támadtak a Google-re

 ( trey | 2010. január 15., péntek - 9:16 )

A Google a napokban jelentette be, hogy kifinomult és célzott támadást indítottak ellene, illetve körülbelül két tucat amerikai nagyvállalat ellen Kínából. Ezért a keresőóriás átértékelte Kínával kapcsolatos hozzáállását és bejelentette, hogy kész kivonulni az országból. A bejelentés nagy port kavart fel, még az Egyesült Államok külügyminisztere is megszólalt az ügyben, választ várva a kínai kormányzattól.

A bejelentés után megindult a találgatás arról, hogy milyen hibákat használhattak ki a támadók. Felröppent a hír, hogy 0day Internet Explorer sebezhetőség lehetett a támadás egyik segítője. A Microsoft tegnap elismerte, hogy ez így van.

A német Postbank-ot, a Cisco-t, a Symantec-et és az SAP-t is elérte a 2010-es évváltás probléma

 ( trey | 2010. január 5., kedd - 20:20 )

Úgy tűnik, hogy az ausztrál (és új-zélandi) EFTPOS rendszer és a mobiltelefonok/szolgáltatók mellett másoknak is problémája akadt a 2010-re váltással. A H-Security egyik cikke szerint a német Postbank ügyfelei nem tudtak a hétvégén pénzt felvenni az EC és más EMV chip-es kártyákat elfogadó ATM-ekből. Az ATM-ek hibátlanul működtek, de mégis elutasítottak egyes kártyákat. A vizsgálat során kiderült, hogy a problémás kártyákon alkalmazott chip hibája miatt okozott gondot a 2010-es év feldolgozása. Az ATM-ek átkonfigurálásával oldották meg a gondot. A Postbank mellett a Symantec és a Cisco sem vette akadálymentesen a 2010-es év elejét. Az egyiknél a Symantec Endpoint Protection termék, a másiknál Content Switching Module (CSM) köhögött az újév beköszöntével. A SAP ügyfelek pedig könnyen 2100-ban találhatták magukat. További részletek itt (hozzászólások).

Y2K16 bug: mobiltelefonok, szolgáltatók és pénzügyi tranzakciókat végző rendszerek is érintettek

 ( trey | 2010. január 4., hétfő - 9:27 )

Úgy tűnik, hogy idén sem maradnak el az évváltással járó problémák. 2009 elején a Y2K9 bug döntötte halomra a Microsoft Zune egyes példányait. Most arról jöttek hírek, hogy az ausztrál EFTPOS gépek közül jelentős számú az újév beköszöntével 2016-ra váltott. Emellett fórumokban arról számoltak be egyes felhasználók, hogy a Windows Mobile-t futtató készülékeiken (más készülékek is érintettek lehetnek) az újévi SMS-ek 2016-ból jönnek.

0day biztonsági sebezhetőség a Microsoft IIS egyes verzióiban

 ( trey | 2009. december 28., hétfő - 16:33 )

Soroush Dalili egy PDF dokumentumot publikált nemrég, amelyben arra hívja fel a figyelmet, hogy a Microsoft Internet Information Services (IIS) termék különböző verziói olyan biztonsági hibát tartalmaznak, amelyet a támadó sikeresen kihasználva kódot tölthet fel az áldozat webszerverére. A szerző a biztonsági hibát "highly critical for web applications" jelzővel illette. A bejelentés szerint a sebezhetőséget 2008 áprilisában fedezték fel, de csak most, 20 hónappal később, 2009 decemberében publikálták.

Microsoft Internet Explorer CSS Handling Code Execution Vulnerability (0day)

 ( trey | 2009. november 22., vasárnap - 18:09 )

A Microsoft Internet Explorer 6-os és 7-es verzióját érintő 0day-t hozott nyilvánosságra tegnapelőtt K4mr4n_st a Bugtraq-on. A VUPEN "critical" besorolással illette. A biztonsági oldal szerint a teljesen felpatchelt Windows XP SP3 IE6 és IE7 böngészővel sebezhető. A VUPEN nem tud hivatalos javításról. Workaround: Active Scripting letiltása az Internet és Local intranet biztonsági zónákban. A részletek itt.

Biztonsági hibát talált a Microsoft a Google Chrome Frame-ben

 ( trey | 2009. november 20., péntek - 13:30 )

A Google szeptember végén jelentette be Google Chrome Frame névre hallgató IE plug-in-jét, amellyel megérkezett a Google Chrome renderer-je és Javascript engine-je az IE-be. A Microsoft szóvivője akkor azt nyilatkozta, hogy cége nem ajánlja a plug-in telepítését az IE felhasználóknak, mert azzal csökken az Internet Explorer biztonsága.

Windows 7 / Windows Server 2008 R2 remote kernel crash

 ( trey | 2009. november 12., csütörtök - 15:35 )

Laurent Gaffié egy olyan sebezhetőséget talált a Windows 7 és Windows Server 2008 R2 termékek SMB kliens implementációjában, amelynek sikeres kihasználása esetén távolról össze lehet omlasztani a rendszereket. A bug triggereléséhez nem kell feltétlen, hogy a felhasználó kezdeményezzen kapcsolatot a szerverrel, akár egy megfelelően összeállított HTML oldal is felhasználható a hiba előidézésére. Ha a csomagszűrő illetve a tűzfal átengedi az SMB csomagokat, akkor a támadás nem korlátozódik kizárólag a LAN-ra. A sebezhetőség felfedezője Python-ban írt egy proof-of-concept exploit-ot a hibára. A szakember november 8-án jelezte a problémát az MSRC-nek, amely még aznap megerősítette azt. Javítás egyelőre nincs. A részletek itt és itt.

Null pointer dereference sebezhetőség a Linux kernelben (pipe.c)

 ( trey | 2009. november 4., szerda - 21:31 )

Null pointer dereference hibát találtak a Linux kernel pipe.c fájljában. A hiba sikeres kihasználása a helyi támadó számára DoS-t, vagy privilégium-szint emelést tehet lehetővé. A H Security szerint azon a disztribúciók, amelyeken a mmap_min_addr értéke alapértelmezetten nagyobb 0-nál (pl. Ubuntu), nem sebezhetőek. Ahol 0 (pl. Red Hat, Debian), ott workaround-ként be lehet állítani ezt a sysctl változót nagyobbra. A hibát a 2.6.32-rc6 pre kernelben javították. A javítást október 21-én commit-olta Linus. A VUPEN hibajegye itt. További részletek itt. A Debian segítsége a sysctl knob megváltoztatásához itt.

"Az F-Spot ártalmasnak tekintett"

 ( trey | 2009. október 31., szombat - 9:11 )

Daniel Bartholomew egy blogbejegyzése szerint a C#-ban írt, számos Linux disztribúcióban jelen levő F-Spot képkezelő program károsnak tekinthető, mert önkényesen megváltoztatja képek EXIF adatait.

Publikus exploit látott napvilágot az SMB2 sebezhetőséghez

 ( trey | 2009. szeptember 29., kedd - 14:36 )

A H Securtiy szerint egy teljes mértékben működő exploit látott napvilágot az egyes Windows termékek SMB2 protokoll implementációjában található biztonsági hibához. A kód - integrálva a Metasploit Framework névre hallgató pentest keretrendszerbe - többféle támadásra ad lehetőséget, beleértve akár a megfelelő backdoor elhelyezését is az áldozat rendszerén.

Coverity: javul a nyílt forrású programok minősége

 ( trey | 2009. szeptember 25., péntek - 12:04 )

A Coverity névre hallgató, forráskód-elemző megoldásokat gyártó vállalat publikálta 2009-es jelentését. Tavaly a vállalat arra jutott, hogy javult a nyílt forrású szoftverek minősége. Az aktuális jelentés pedig egyebek mellett arról szól, hogy nem állt meg a nyílt forrású szoftverek minőségének javulása. Részletek itt, a jelentés letölthető letölthető PDF formátumban innen.