Miután a Pastebin-en felbukkant egy post arról, hogy az Android 2.3.4-et futtató ZTE Score M telefonban backdoor van, a kínai mobilgyártó elismerte a rendkívül kellemetlen probléma meglétét. A backdoor sikeres használatával bárki root jogokhoz juthat a készüléken. A biztonsági problémát felfedező Dmitri Alperovitch szerint a backdoor a ZTE-től érkezett a készülékbe szoftverfrissítésen keresztül. Az nem világos még, hogy a backdoor szándékosan került a készülékekbe, vagy csak programozói hanyagság eredménye. A ZTE azt nyilatkozta, hogy a ZTE Score M-en kívül más készülék nem érintett. A cég készít egy javítást a problémára, amelyet OTA frissítésként juttat el a készülékekre. A részletek itt olvashatók.

A hírek szerint a Pastebin-en felbukkant egy script és egy leírás, amely felhasználásával gyakorlatilag bármely Skype felhasználó publikus és privát IP címe kideríthető. A Skype Open Source blog megerősítette, hogy valóban működik a leírás. A Microsoft egy e-mailben küldött állásfoglalás szerint vizsgálja a problémát. További részletek itt.

A hírek szerint egy "hacker" azt ígérte az egyik fórumban, hogy 20 dollárért cserébe bármely Hotmail fiókba betör 1 percen belül. Állítólag állta is a szavát. Valamelyik biztonsági fórumon jutott hozzá olyan Hotmail sebezhetőség információhoz, amely lehetővé tette számára tetszőleges fiókok jelszavának megváltoztatását. Több felhasználó fiókjához fértek így hozzá. Ezen kívül állítólag arra is felhasználták a sebezhetőséget, hogy vonzó, rövid e-mail címekhez tartozó fiókokat - pl. xxx@ - ellopjanak és azokat más tulajdonoshoz rendeljék hozzá.
A sebezhetőséget Benjamin Kunz Mejri biztonsági szakértő is felfedezte és arról április 20-án értesítette a Microsoft-ot. A redmondi vállalat április 21-én javította a hibát, amelynek részletei elolvashatók itt.

A VMware Security Response Center igazgatója, Iain Mulholland tegnapelőtt a VMware.com-on megerősítette, hogy valóban ESX kódrészletek szivárogtak ki. A szóban forgó kódot április 8-án tette ki a Pastebin-re egy magát "Hardcore Charlie"-nak nevező ismeretlen. A VMware közlése szerint nem zárható ki, hogy még több kód lát napvilágot a jövőben. Az Ars Technica szerint "szerencsére" régi, 2003-2004-ből származó kódról van szó. A hírek szerint a kódot a kínai katonai beszállító CEIEC-től lophatták el.

Az Oracle nemrég kiadta a MySQL 5.5.22-es és 5.1.62-es verzióit, amelyben több bug is javításra került. A kiadások érdekessége, hogy az Oracle bennük felejtette az egyik javított sebezhetőség teszteléséhez használt PoC-t (a forráscsomagokban a mysql-test/suite/innodb/t/innodb_bug13510739.test fájl).

A részletek itt és itt olvashatók.

A Hewlett-Packard egy figyelmeztetőt adott ki, amelyben közölte, hogy néhány HP ProCurve 5400 zl switch úgy került forgalomba, hogy benne rosszindulatú szoftver található. A figyelmeztető szerint az érintett eszközökben található CF kártyán vírus található. A probléma akkor jelentkezhet, ha valaki ezeket a CF kártyákat a switchből eltávolítva számítógépben akarná (újra)felhasználni. A gyártó szerint a problémás eszközöket 2011. április 30. után szállították le. Az érintett eszközök sorozatszámait a gyártó közzétette. A figyelmeztető itt olvasható.

A Samba projekt egy hibajegyet adott ki, amelyben arról tájékoztat, hogy Samba 3.6.3-as és az azt megelőző 3.0-s verziói olyan biztonsági sebezhetőséget tartalmaznak, amelyet kihasználva a távoli támadó a szerveren root jogokkal tetszőleges kódot futtathat. A sebezhetőség különösen súlyos, mert a kihasználásához nincs szükség hitelesített kapcsolatra. A projekt arra bíztatja a felhasználókat, hogy mihamarabb frissítsék Samba telepítéseiket. A Samba patcheket és új, javított kiadásokat biztosít a probléma kiküszöbölésére. Részletek a hibajegyben.

Frissítés: Közben kiderült, hogy Samba 4 is érintett.

A Dr. Web antivírus cég azt állítja, hogy több mint fél millió Mac számítógép fertőződhetett meg a BackDoor.Flashback trójaival világszerte. A trójai feltehetően egy olyan Java sebezhetősége(ke)t használ ki, amelyet az Apple április 3-án javított ki. A sebezhetőséget az Oracle februárban javította a windowsos verzióban.

Ivan Sorokin - a Dr. Web malware elemzője - azt állította a Twitter-en, hogy a botnet mérete már meghaladta a 600 ezres számot. A fertőzött gépek nagy része az Egyesült Államokban található, majd' háromszázas nagyságrendben Cupertino-ban, így nem kizárt, hogy az Apple főhadiszállásán is áldozatul esett néhány gép. Az F-Secure szerint valósak lehetnek a Dr. Web által közölt számok. Azok számára, akik belefutottak a trójaiba, az F-Secure közzétett egy instrukciót a manuális eltávolításra.

További részletek itt és itt.

Azoknak, akik publikus IP-n elérhető FreePBX-et üzemeltetnek Asterisk szerverük konfigurálására, érdemes lehet egy kicsit jobban figyelni, mert a full-disclosure lista egyik levele szerint a FreePBX jelenlegi és korábbi verzióin hiányzó bemenet-ellenőrzés miatt távolról kódot lehet futtatni. Ráadásul emellett XSS problémák is vannak vele. Érintett verziók: 2.10.0, 2.9.0 és esetlegesen korábbi verziók is. 2011. június 12. óta próbált a sebezhetőség felfedezője patch-et beküldeni a gyártóhoz, sikertelenül. Mivel a gyártónak nem volt eddig szándékában a problémával foglalkozni, Martin Tschirsich a nyilvánossághoz fordult és közölte a sebezhetőség részleteit. Ezen kívül nem hivatalos patcheket is elérhetővé tett a probléma javítására. A FreePBX projekt egyelőre nem erősítette meg hivatalosan a probléma létezését és nem közölte, hogy szándékában áll-e a hibát javítani. A részletek itt.

"Alapértelmezetten engedélyezett root account-tal szállítani (a CyanogenMod-ot - a szerk.) 1000000+ eszközre tátongó lyuk volt. Hisszük, hogy ezen változtatásokkal kompromisszumra jutottunk, amely lehetővé teszi a rajongóknak, hogy továbbra is használhassák a root-ot ha úgy kívánják, miközben jó biztonsági szintet kínálunk a felhasználók többségének."

A CyanogenMod projekt bejelentése arról, hogy a CM9-től a root account alapértelmezetten tiltva lesz, elolvasható itt.

Néhány nappal ezelőtt ismeretlen személy(ek) egy projektet regisztrált(ak) a SourceForge-on Anonymous-OS néven, azt színlelve, hogy a projektnek köze van az elmúlt hónapokban a lapok címoldalán rendkívül sokat szereplő Anonymous csoporthoz, megmozduláshoz. A projekt egy Ubuntu 11.10 alapú LiveCD, amely olyan Linux disztribúció benyomását szeretné kelteni, hogy vele weboldalak biztonságát lehet "tesztelni", benne olyan hacking eszközök vannak csomagolva, amelyek ezt a tevékenységet segítik.

Nem sokkal az Anonymous-OS felbukkanása után a biztonsági szakma, közösség egy része kételyeinek adott hangot a projekttel kapcsolatban és a kételyt erősítette, hogy az Anonymous csoport a Twitteren azt közölte, hogy az OS hamis, semmi köze az Anonymous csoporthoz és trójaikkal van megpatkolva.

Nem tartott sokáig, hogy szabadon elérhető Proof-of-Concept (PoC) exploitot fedezzenek fel az MS12-020-ra. Az sem kizárt, hogy információ szivárog vagy a Microsoft-tól, vagy a Microsoft Active Protection Program-ból (MAPP), a programban szereplőktől, vagy a ZDI-től..
A Microsoft kedden jelentette be, hogy távolról kihasználható, kritikus sebezhetőség található az RDP implementációjában. A Microsoft sürgette a rendszeradminisztrátorokat az azonnali patchelésre, mert attól tartott, hogy 30 napon belül kódfuttatást lehetővé tevő exploit bukkanhat fel a hibára. A hírek szerint kínai fórumokon már felbukkant egy exploit. Nem is akármilyen.

Frissítve: Auriemma egy írást tett közzé, amelyben egyebek mellett az olvasható, hogy miért gondolja azt, hogy a rondán megírt PoC-t a Microsoft készítette, illetve néhány lehetséges forgatókönyvet vázol fel arról, hogy hogyan szivároghatott ki a cucc.

Biztonsági incidens történt tegnap a GitHub-on. Egor Homakov állítólag egy régóta ismert Ruby on Rails problémát (mass-assignment vulnerability) használt ki. A H Open cikke szerint Homakov-nak lehetősége nyílt egyebek mellett változtatásokat push-olni tetszőleges GitHub projektbe.

Részletek itt.

A biztonsági termékeiről ismert Trend Micro bejelentette, hogy HijackThis termékének forrását megnyitotta és azt a GNU General Public License v2 feltételei szerint közzétette. A program eddig is ingyenesen elérhető volt, de mostantól szabad szoftverként folytatja pályafutását. A projekt weboldala megtalálható a SourceForge-on itt. A Trend Micro bejelentése itt olvasható.

Egy szoftverfejlesztő, midőn a Path iOS-es alkalmazását elemezte, felfedezte, hogy a szoftver a felhasználók előzetes beleegyezése nélkül feltölti azok címjegyzékét a cég saját szerverére. Az alkalmazás által generált hálózati forgalom mitmproxy-val való elemzése után kiderült, hogy a felhasználók teljes címjegyzéke - beleérte a teljes nevek, e-mail címek, telefonszámok - feltöltésre kerülnek a Path szervereire. A Path vezérigazgatója, Dave Morin elismerte a problémát és azt mondta, hogy nagyon komolyan veszik azt. Természetesen a cég vezetőjének volt "mentsége" az adatlopásra. Annak ellenére, hogy megpróbált valamiféle magyarázatot adni a dologra, Morin megígérte, hogy a jövőbeli verziókban előbb megkérdezik majd a felhasználót, hogy az engedélyezi-e az adatküldést. Az újabb verzió elkészült és az Apple jóváhagyására vár az App Store-ban. A korábbi androidos verziók is érintettek voltak, de a cég vezetője szerint Android-on már néhány hete verziót váltott az alkalmazás és már megkérdezi a felhasználókat az adatfeltöltéssel kapcsolatban.

Frissítés: We are sorry. We made a mistake.

Miután a Symantec elismerte, hogy illetéktelenek eltulajdonították több szoftvere - egyebek mellett a pcAnywhere - forrását, azt javasolta ügyfeleinek, hogy ideiglenesen álljanak le a szoftver használatával. Közben egy illető - bizonyos Yamatough -, aki azt állította, hogy birtokában vannak a kódok, pénzt akart kicsikarni a vállalatból annak fejében, hogy nem publikálja a forrást az interneten. A Symantec együttműködött a hatóságokkal annak érdekében, hogy kiderítsék, ki fenyegeti. Állítólag a hatóságok egy Sam Thomas nevű kitalált Symantec alkalmazott bőrébe bújva léptek kapcsolatba a hallgatási pénzt kérővel.

A minap akadtam rá a Mobile-OTP oldalra, ami leginkább - de nem kizárólag - a mobiltelefonra telepíthető klienssel való jelszógenerálásról szól.

A lényeg dióhéjban:

Mint az ismert, a Symantec egyes termékeinek forráskódja publikus lett. Na nem azért, mert a cég azt nyílt forrásúvá tette, hanem azért, mert ahhoz illetéktelenek fértek hozzá. Ezt a cég a Facebookon elismerte. De nem csak hozzáfértek a kódokhoz, hanem azok egy részét publikálták is az interneten. A vállalat szerint nem a saját hálózatára törtek be, hanem egy 3rd party-tól szerezték meg illetéktelenek a forráskódokat. Eleinte a Symantec igyekezett nyugtatni az ügyfeleit, állítva, hogy régi - több éves - kódokról van szó és ráadásul az egyik érintett termék már nyugdíjazásra került. Viszont most arról ír a ComputerWorld, hogy a cég azt javasolja ügyfeleinek, hogy a álljanak le a pcAnywhere szoftver használatával addig, amíg ahhoz frissítés nem érkezik. A Metasploit mögött álló H.D. Moore, meglepődött azon, hogy egy Symantec kaliberű cég ilyesmire kéri ügyfeleit.

A részletek itt olvashatók.

Szemfülesek észrevették, hogy az X.Org 1.11-es verziójától kezdve egy commitnak köszönhetően olyan "feature" mutatkozott be (újra, ezúttal alapértelmezetten), amelyet fel-/kihasználva bárki feloldhatja a képernyőzárt (Lock Screen) azon a gépen, amelyhez fizikai hozzáférése van. A képernyőzár feloldásához mindössze a Ctrl+Alt+Keypad-Multiply kombót kell alkalmaznia. A feltehetően érintett Linux disztrók listája itt. A felsorolt Linux disztrók mellett más OS-ek is érintettek lehetnek, amennyiben a problémás X.Org verziókat használják.

A cikk elolvasható itt.

A Sony után újabb játékfejlesztőt/terjesztőt ért incidens. A Valve bejelentette, hogy vasárnap este illetéktelenek fértek hozzá a fórumához és a Steam digitális tartalomterjesztő rendszerének adatbázisához. A behatolók hozzáfértek a felhasználónevekhez, a hashed + salted jelszavakhoz, a játékvásárlás-történetekhez, e-mail címekhez, számlázási adatokhoz és a titkosított hitelkártyaadatokhoz.

A CrySysLab egy új, nyílt forrású eszközt adott ki, amely képes észlelni a Duqu trójai nyomait és a futó Duqu példányokat. A részletek elolvashatók a crysys.hu-n.

Charlie Miller-t - többszörös Pwn2Own győztes, ismert arról, hogy rendszeresen talál biztonsági sebezhetőséget az Apple termékeiben - az Apple kizárta az iOS Developer programból. Az ok: Miller ismét biztonsági rést talált az Apple termékében, arra készített egy PoC alkalmazást, amelyet beküldött az App Store-ba, majd miután közölte, hogy az alkalmazás "többet is tud" mint aminek látszik, az Apple megvonta a fejlesztői licencét. Ezt Miller közölte a Twitter-en.

Miller a következő videóban mutatja be a problémát és az arra készített InstaStock alkalmazást, amelyet az Apple szeptemberben fogadott be az App Store-ba: