Bug

Publikusan elérhető az exploit az 0day Internet Explorer sebezhetőségre

 ( trey | 2010. január 16., szombat - 11:58 )

Tegnapelőtt a Microsoft elismerte, hogy egy 0day Internet Explorer sebezhetőség volt az egyik vektor, amely mentén támadást indítottak a Google és feltehetően több másik nagyvállalat ellen. A támadássorozatnak már neve is van: Operation Aurora. A szoftvergyártó egy biztonsági figyelmeztetőt is publikált, illetve azt ígérte, hogy a megfelelő minőség-ellenőrzés után a javítást terjeszteni fogja az ügyfelei számára. A vállalat közlésében az szerepelt, hogy csak korlátozott és célzott támadásokról tudnak. Ez most megváltozhat, hiszen az exploit most már szabadon kering az interneten.

Deface-elték a BerliOS nyílt forrású projekt hosting weboldalát

 ( trey | 2010. január 15., péntek - 14:14 )

A Jörg Schilling - a cdrecord hírhedt szerzője, Linux-ból kiábrándult OpenSolaris szószóló - által adminisztrált, BerliOS néve hallgató, nyílt forrású projekteket hostoló site weboldalát feltörték és deface-elték. A lecserélt weboldalon az volt olvasható, hogy az oldal 2005 óta volt feltörve.

A Microsoft elismerte, hogy 0day Internet Explorer sebezhetőséget kihasználva támadtak a Google-re

 ( trey | 2010. január 15., péntek - 9:16 )

A Google a napokban jelentette be, hogy kifinomult és célzott támadást indítottak ellene, illetve körülbelül két tucat amerikai nagyvállalat ellen Kínából. Ezért a keresőóriás átértékelte Kínával kapcsolatos hozzáállását és bejelentette, hogy kész kivonulni az országból. A bejelentés nagy port kavart fel, még az Egyesült Államok külügyminisztere is megszólalt az ügyben, választ várva a kínai kormányzattól.

A bejelentés után megindult a találgatás arról, hogy milyen hibákat használhattak ki a támadók. Felröppent a hír, hogy 0day Internet Explorer sebezhetőség lehetett a támadás egyik segítője. A Microsoft tegnap elismerte, hogy ez így van.

A német Postbank-ot, a Cisco-t, a Symantec-et és az SAP-t is elérte a 2010-es évváltás probléma

 ( trey | 2010. január 5., kedd - 20:20 )

Úgy tűnik, hogy az ausztrál (és új-zélandi) EFTPOS rendszer és a mobiltelefonok/szolgáltatók mellett másoknak is problémája akadt a 2010-re váltással. A H-Security egyik cikke szerint a német Postbank ügyfelei nem tudtak a hétvégén pénzt felvenni az EC és más EMV chip-es kártyákat elfogadó ATM-ekből. Az ATM-ek hibátlanul működtek, de mégis elutasítottak egyes kártyákat. A vizsgálat során kiderült, hogy a problémás kártyákon alkalmazott chip hibája miatt okozott gondot a 2010-es év feldolgozása. Az ATM-ek átkonfigurálásával oldották meg a gondot. A Postbank mellett a Symantec és a Cisco sem vette akadálymentesen a 2010-es év elejét. Az egyiknél a Symantec Endpoint Protection termék, a másiknál Content Switching Module (CSM) köhögött az újév beköszöntével. A SAP ügyfelek pedig könnyen 2100-ban találhatták magukat. További részletek itt (hozzászólások).

Y2K16 bug: mobiltelefonok, szolgáltatók és pénzügyi tranzakciókat végző rendszerek is érintettek

 ( trey | 2010. január 4., hétfő - 9:27 )

Úgy tűnik, hogy idén sem maradnak el az évváltással járó problémák. 2009 elején a Y2K9 bug döntötte halomra a Microsoft Zune egyes példányait. Most arról jöttek hírek, hogy az ausztrál EFTPOS gépek közül jelentős számú az újév beköszöntével 2016-ra váltott. Emellett fórumokban arról számoltak be egyes felhasználók, hogy a Windows Mobile-t futtató készülékeiken (más készülékek is érintettek lehetnek) az újévi SMS-ek 2016-ból jönnek.

0day biztonsági sebezhetőség a Microsoft IIS egyes verzióiban

 ( trey | 2009. december 28., hétfő - 16:33 )

Soroush Dalili egy PDF dokumentumot publikált nemrég, amelyben arra hívja fel a figyelmet, hogy a Microsoft Internet Information Services (IIS) termék különböző verziói olyan biztonsági hibát tartalmaznak, amelyet a támadó sikeresen kihasználva kódot tölthet fel az áldozat webszerverére. A szerző a biztonsági hibát "highly critical for web applications" jelzővel illette. A bejelentés szerint a sebezhetőséget 2008 áprilisában fedezték fel, de csak most, 20 hónappal később, 2009 decemberében publikálták.

Microsoft Internet Explorer CSS Handling Code Execution Vulnerability (0day)

 ( trey | 2009. november 22., vasárnap - 18:09 )

A Microsoft Internet Explorer 6-os és 7-es verzióját érintő 0day-t hozott nyilvánosságra tegnapelőtt K4mr4n_st a Bugtraq-on. A VUPEN "critical" besorolással illette. A biztonsági oldal szerint a teljesen felpatchelt Windows XP SP3 IE6 és IE7 böngészővel sebezhető. A VUPEN nem tud hivatalos javításról. Workaround: Active Scripting letiltása az Internet és Local intranet biztonsági zónákban. A részletek itt.

Biztonsági hibát talált a Microsoft a Google Chrome Frame-ben

 ( trey | 2009. november 20., péntek - 13:30 )

A Google szeptember végén jelentette be Google Chrome Frame névre hallgató IE plug-in-jét, amellyel megérkezett a Google Chrome renderer-je és Javascript engine-je az IE-be. A Microsoft szóvivője akkor azt nyilatkozta, hogy cége nem ajánlja a plug-in telepítését az IE felhasználóknak, mert azzal csökken az Internet Explorer biztonsága.

Windows 7 / Windows Server 2008 R2 remote kernel crash

 ( trey | 2009. november 12., csütörtök - 15:35 )

Laurent Gaffié egy olyan sebezhetőséget talált a Windows 7 és Windows Server 2008 R2 termékek SMB kliens implementációjában, amelynek sikeres kihasználása esetén távolról össze lehet omlasztani a rendszereket. A bug triggereléséhez nem kell feltétlen, hogy a felhasználó kezdeményezzen kapcsolatot a szerverrel, akár egy megfelelően összeállított HTML oldal is felhasználható a hiba előidézésére. Ha a csomagszűrő illetve a tűzfal átengedi az SMB csomagokat, akkor a támadás nem korlátozódik kizárólag a LAN-ra. A sebezhetőség felfedezője Python-ban írt egy proof-of-concept exploit-ot a hibára. A szakember november 8-án jelezte a problémát az MSRC-nek, amely még aznap megerősítette azt. Javítás egyelőre nincs. A részletek itt és itt.

Null pointer dereference sebezhetőség a Linux kernelben (pipe.c)

 ( trey | 2009. november 4., szerda - 21:31 )

Null pointer dereference hibát találtak a Linux kernel pipe.c fájljában. A hiba sikeres kihasználása a helyi támadó számára DoS-t, vagy privilégium-szint emelést tehet lehetővé. A H Security szerint azon a disztribúciók, amelyeken a mmap_min_addr értéke alapértelmezetten nagyobb 0-nál (pl. Ubuntu), nem sebezhetőek. Ahol 0 (pl. Red Hat, Debian), ott workaround-ként be lehet állítani ezt a sysctl változót nagyobbra. A hibát a 2.6.32-rc6 pre kernelben javították. A javítást október 21-én commit-olta Linus. A VUPEN hibajegye itt. További részletek itt. A Debian segítsége a sysctl knob megváltoztatásához itt.

"Az F-Spot ártalmasnak tekintett"

 ( trey | 2009. október 31., szombat - 9:11 )

Daniel Bartholomew egy blogbejegyzése szerint a C#-ban írt, számos Linux disztribúcióban jelen levő F-Spot képkezelő program károsnak tekinthető, mert önkényesen megváltoztatja képek EXIF adatait.

Publikus exploit látott napvilágot az SMB2 sebezhetőséghez

 ( trey | 2009. szeptember 29., kedd - 14:36 )

A H Securtiy szerint egy teljes mértékben működő exploit látott napvilágot az egyes Windows termékek SMB2 protokoll implementációjában található biztonsági hibához. A kód - integrálva a Metasploit Framework névre hallgató pentest keretrendszerbe - többféle támadásra ad lehetőséget, beleértve akár a megfelelő backdoor elhelyezését is az áldozat rendszerén.

Coverity: javul a nyílt forrású programok minősége

 ( trey | 2009. szeptember 25., péntek - 12:04 )

A Coverity névre hallgató, forráskód-elemző megoldásokat gyártó vállalat publikálta 2009-es jelentését. Tavaly a vállalat arra jutott, hogy javult a nyílt forrású szoftverek minősége. Az aktuális jelentés pedig egyebek mellett arról szól, hogy nem állt meg a nyílt forrású szoftverek minőségének javulása. Részletek itt, a jelentés letölthető letölthető PDF formátumban innen.

Kritikus sebezhetőségek a VLC-ben és az FFmpeg-ben

 ( trey | 2009. szeptember 23., szerda - 9:36 )

A VLC fejlesztői egy hibajegyet adtak ki a minap, amelyben arra figyelmeztetnek, hogy a népszerű médialejátszóval történő, bizonyos MP4, ASF vagy AVI fájlok lejátszása esetén stack overflow következhet be. A probléma sikeres kihasználása esetén a rosszindulatú támadó akár tetszőleges kódot is végrehajthat a VLC kontextusában. Az érintett VLC verziókkal rendelkező felhasználóknak célszerű a nem megbízható forrásból származó médiafájlokat és weboldalakat kerülni. Workaround lehet a megadott demuxer pluginek eltávolítása a plugin könyvtárból. A VLC 1.0.2-es verziójában már javították a problémát. A hibajegy itt.

"Linux 2.6.31 perf_counter 0day Local Root Exploit"

 ( trey | 2009. szeptember 17., csütörtök - 15:22 )

A Grsecurity mögött álló Brad Spengler (spender) egy videót tett közzé a tegnap, amelyen az látható, hogy egy 2.6.31-es kernelen root jogokhoz jut:

[Frissítve #2] Windows Vista, Windows 7 RC és Windows 2008 remote BSOD bug

 ( trey | 2009. szeptember 8., kedd - 14:46 )

Egy, a Windows Vista-ban és a Windows 7-ben jelen levő bug lehetővé teszi a távoli (helyi hálózaton levő) támadó számára, hogy bizonyos beállítások mellett "elkékhaláloztathassa" az áldozat számítógépét. Az SMB2 protokoll implementációban található bug egy egyszerű python script-tel triggerelhető:

Frissítés #1 E blogbejegyzés szerint a bug nem csak BSOD okozására, hanem távoli kódfuttatásra és helyi privilégium-szint emelésre is felhasználható lehet. A blog szerint a Windows Server 2008 is érintett.
Frissítés #2 Az MSRC szerint érintett: Windows Vista, Windows Server 2008 és Windows 7 RC, nem érintett: Windows 7 RTM, Windows Server 2008 R2, Windows XP és Windows 2000
Frissítés #3 Microsoft SA 975497

IIS sebezhetőségre figyelmeztet a Microsoft

 ( trey | 2009. szeptember 2., szerda - 16:27 )

A Microsoft arra figyelmeztet, hogy publikus bejelentés nyomán egy, az IIS FTP szolgáltatásában levő sebezhetőséget sebezhetőséget vizsgál. A sebezhetőség kihasználása távoli kódfuttatást tehet lehetővé a bizonyos módon konfigurált (write hozzáférés az untrusted anonymous felhasználóknak - nem default), érintett rendszereken a támadó számára. A kiadott figyelmeztető szerint a Microsoft Internet Information Services (IIS) 5.0, 5.1 és 6.0 lehet érintett. A hiba kihasználásra részletes exploit érhető el az interneten. Az érintett és nem érintett operációs rendszerek listája a figyelmeztetőben található. A Kingcope által jegyzett exploit Win2K SP4-hez megtalálható a milw0rm oldalon. Egy videó található itt a hiba kihasználásáról (IIS5). IIS6-hoz nincs egyelőre ismert exploit. További részletek itt és itt.

"Egy egyszerű és veszélyes kernel bug története"

 ( trey | 2009. augusztus 30., vasárnap - 17:13 )

Răzvan Musăloiu-Elefteri blogjában arról ír, hogy a Mac OS X 10.5 nyolcadik update-jével az Apple egy több mint négy éves biztonsági sebezhetőséget javított ki az OS X kernelében. A bug az fcntl hívás kezelésével kapcsolatos. A bugot a CVE-2009-1235 hibajegyben írták le és úgy tűnik, hogy az első (local root) exploit 2008 júliusában készült hozzá.

Kritikus sebezhetőség a Pidgin-ben

 ( trey | 2009. augusztus 19., szerda - 14:03 )

Kritikus biztonsági sebezhetőséget tartalmaz a Pidgin névre hallgató, népszerű azonnali üzenetküldő alkalmazás. A bug a Pidgin által használt libpurple library-ban található. A hiba kihasználása esetén a rosszindulatú támadó kódot injektálhat és hajthat végre az áldozat számítógépén. A hiba sikeres kihasználásához nincs szükség interaktivitásra az áldozat részéről és a sikeres támadás véghezvitelének nem feltétele, hogy a támadó szerepeljen az áldozat "buddy" listáján.

A disztribútorok megkezdték a nemrég bejelentett NULL pointer deref. sebezhetőség javítását

 ( trey | 2009. augusztus 17., hétfő - 20:39 )

A nagyobb Linux disztribútorok közül a Debian és a Fedora elvégezték a nemrég bejelentett, a Google biztonsági csapatához tartozó Tavis Ormandy és Julien Tinnes által felfedezett, a kernelben 2001 óta jelen levő helyi root sebezhetőség javítását. A Debian frissítette kernelcsomagjait a Debian 5.0-hoz (Lenny) és Debian 4.0-hoz (Etch). A Fedora szintén javította a kernelcsomagokat a Fedora 10-hez és 11-hez. A többi disztribútortól - mint az openSUSE és az Ubuntu - még nem érhetők el a javítások.

Ubuntu 9.04-re elérhető már egy ideje a hibát javító, reboot-ot nem igénylő Ksplice update. (Ksplice update ID: k3122np0)

"Microsoft: két éves reagálás egy kritikus 0day-re"

 ( trey | 2009. augusztus 16., vasárnap - 9:40 )

A napokban fény derült arra, hogy a Microsoft már több mint két éve tudott arról az Office Web Components-ben (OWC) levő kritikus biztonsági hibáról, amelyen a legutóbbi patch kedden javított. A vállalat csak azután kezdte csipkedni magát a javítás elkészítésére, miután tudomására jutott, hogy a hibát aktívan kihasználják.

Távoli admin jelszó alaphelyzetbe állítást tesz lehetővé egy WordPress sebezhetőség

 ( trey | 2009. augusztus 11., kedd - 13:04 )

A WordPress névre hallgató, kedvelt blogmotor legfrissebb stabil verziója (<= 2.8.3) egy olyan sebezhetőséget tartalmaz, amely lehetővé teszi a távoli támadó számára az adminisztrátori jelszó reset-elését. A hiba kihasználásához csak az "elveszett jelszó" linket kell speciálisan formázni. A hibát Laurent Gaffié jelentette be tegnap. Levele az PoC példával elolvasható itt. Először a bejelentés még arról szólt, hogy a hibát ki lehet használni az admin account feltöréséhez, de később a bejelentő "javította" magát és módosította a "to compromise"-ot, "to reset"-re.

A bejelentés pillanatában javítás még nem volt elérhető a WordPress projekttől.

Windows XP SP2/SP3 (NtUserConsoleControl) - Local Privilege Escalation

 ( trey | 2009. augusztus 6., csütörtök - 8:52 )

A SecurityTracker egyik figyelmeztetője szerint egy, a Windows XP kernelében található sebezhetőség lehetővé teszi a helyi felhasználó számára privilégium-szintjének emelését. A helyi felhasználó meghívva a win32k.sys-ben található NtUserConsoleControl() függvényt tetszőleges kódot hajthat végre a rendszeren emelt privilégium-szinttel.

Júniusban Jonathan Ness azt írta egy, a hibára publikált 0day-re a Microsoft Security Research & Defense blogban, hogy futtatásához adminisztrátori jogok kellenek, és ugyan tovább vizsgálják a problémát annak érdekében, hogy kiderüljön, kihasználható-e privilégium-szint emelésre, a hiba "reliability" problémának látszik inkább, mintsem biztonsági sebezhetőségnek.

Sun VirtualBox host reboot PoC

 ( Nyosigomboc | 2009. augusztus 2., vasárnap - 10:30 )

A minap a milw0rm-on felbukkant egy proof-of-concept exploit. A Virtualbox guest-en futtatott kód alkalmas a host összeomlasztására (a host rebootol). Több különböző guest operációs rendszeren kipróbálták (Windows XP, Windows 7 RC, Ubuntu 9.04).

Javította az Adobe a Flash Player és a Shockwave kritikus sebezhetőségeit

 ( trey | 2009. július 31., péntek - 7:00 )

Nemrég volt szó arról, hogy az Adobe Flash Player és Acrobat Reader / Acrobat termékekben távolról kihasználható sebezhetőség található. Az Adobe végre frissítette Flash Player és Shockwave termékeit, javítandó az általa is kritikusként besorolt hibát. Az Acrobat termékekhez egyelőre nincs javítás. Érdemes mielőbb frissíteni. A frissítés után a Flash Player about oldalon a "Version information" alatt a "You have version 10,0,32,18 installed" látszik. Részletek a figyelmeztetőben.