Bug

"A Crowdstrike szerint a CVE-2015-3456 alatt regisztrált VENOM a szabad szoftveres hypervisorok egyik részében, a virtuális floppy-vezérlő kódjában található meg. A virtuális FDC-hez a vendég operációs rendszerek a standard, floppy-hoz kötődő parancsokon keresztül férnek hozzá (seek, read, write, format, stb.), az FDC a beérkező parancsokat és a kapcsolódó adatot fix hosszúságú pufferben tárolja, a várt mennyiségű adat megérkezése után pedig végrehajtja a parancsot és törli a puffert. A hiba a puffer alaphelyzetbe állításában van, két parancs esetében ugyanis ez nem történik meg, ez pedig lehetővé teszi a támadó számára, hogy túlcsordulást idézzen itt elő és tetszőleges kódot hajtson végre a gazda operációs rendszeren, a hypervisor jogosultságával."

Részletek itt.

... legalábbis a linuxosok számára biztosan. A Samsung 840 EVO problémáiról már többször volt szó itt a HUP-on. Legutóbb akkor, amikor arról jött hír, hogy a Samsung új firmware-t készül kiadni az eszközhöz. A firmware meg is érkezett, de Linuxot futtatóknak nem biztos, hogy érdemes frissíteni. Legalábbis egyelőre. Aki mégis frissít, annak érdemes néhány dolgot szem előtt tartani, mert különben különböző hibákba - IO error, megakadt bootolás, fájlrendszer hibák stb. - futhat.

Internetes visszajelzések (és saját tapasztalatok) alapján (is) problémák vannak a KB 3038314 jelű, MS15-032 IE 11 kumulatív biztonsági frissítéssel.

A visszajelzések közt szerepel:

• nem töltődik le, X százaléknál áll
• elkezdődik a telepítés, 11%-nál hibát - 80092004 - dob
• ha netán települ, nem lehet a Google-t vagy mást keresőszolgáltatóként kiválasztani

"Nagyon komoly hibába futott bele számos felhasználó, amikor a telefonos Windows 10 legfrissebb technikai előzeteséről próbált visszaállni a rendszer 8.1-es verziójára. A PC-s Windows Phone Recovery Toolt használva a folyamat megakadhat a firmware frissítése alatt, és a beszámolók szerint JTAG eszköz nélkül a pórul járt telefonokba nem lehet újra életet lehelni." - Részletek itt.

"Úgy fest, a Microsoft megtalálta a hibát, ami a mobilos Windows 10 technikai előzeteséről Windows 8.1-re való visszaállítás közben esetenként használhatatlanná tett egyes Lumia modelleket. A vállalat frissítette a visszaállításhoz szükséges Windows Mobile Recovery Toolt, de a siker egyáltalán nem garantált, a felemás eredményt a felhasználói tapasztalatok is megerősítik." - Részletek itt.

Mint az ismert, a Samsung 840 EVO SSD-k olvasási teljesítményével probléma volt (illetve még mindig van). A Samsung kiadott egy javítást (új firmware + Samsung Performance Restoration segédprogram) a problémára, azonban nem sikerült azt maradéktalanul megoldani.

Chrome / Chromium fel használók figyeltek fel (itt is) arra, hogy a Chrome 41 hosszú és/vagy hibás URL-ek esetén összeomlik. A fejlesztőknek sikerült még márciusban bisect-elni a problémát és azonosítani a problémás commit-et. A javítás elvileg a 42-es Chrome-ban érkezik majd (a 42 beta elvileg már nem értintett).

A kedden kiadott KB3033929 Windows frissítés számos Windows 7 felhasználónál okozott végtelen reboot ciklust. A probléma főként a dual-boot rendszerrel rendelkezőket érinti, de nem korlátozódik kizárólag rájuk. Brian Krebs szerint a legjobb amit tehetünk, hogy egyelőre tartózkodunk a KB3033929 telepítésétől.

Aki már belefutott a problémába, az a hibaelhárításhoz segítséget találhat itt.

A Frida fejlesztői felhasználói visszajelzések alapján kezdtek el debugolni egy kernelpánikot. A hibakeresés során sikerült reprodukálni a problémát. Hogy igazolják az elméletüket, írtak egy apró, mindössze 10 LOC-os C programot, amelyet lefordítva, majd futtatva, állítólag azonnali kernelpánik az eredmény a legújabb OS X-en és iOS-en.

A részletek itt olvashatók.

A FD listán jelentette be Peter Adkins a minap, hogy több NetGear routerrel / azok firmware verzióival biztonsági probléma van. A hiba kihasználhatóságát demonstrálandó, a felfedező egy PoC kódot is mellékelt. A PoC segítségével távolról, helyi hálózaton (vagy a távmenedzsment internet felőli engedélyezése esetén az internetről is) keresztül kinyerhető auth. nélkül az admin password, az eszköz sorozatszáma, a WLAN beállítások részletei stb.

Az érintett eszközök / firmware-ek:

Érdekes dologra lettek figyelmesek Pi 2 tulajdonosok a Raspberry Pi fórumon. Elsőként PeterO számolt be arról a megfigyelésről, miszerint ha a Pi 2-jét vakuval fényképezi, az eszköz kikapcsol.