Bug

A Mozilla Foundation MFSA-2014-90 biztonsági figyelmeztetője elsősorban az OS X 10.10-es (kódnevén "Yosemite") kiadásán Mozilla termékeket (Firefox, Thunderbird) futtatók számára lehet érdekes, de más gyártók alkalmazásai is érintettek lehetnek.

A Coverity szerint a The Document Foundation által karbantartott LibreOffice kódja példaértékű abból a szempontból, hogy egyike azoknak, amelyek a legkisebb hibasűrűséggel rendelkeznek. Köszönhető ez annak, hogy a közösség intenzív elemzés alá vetette a kódbázist és javította a talált hibákat.

A 2013 Coverity Scan Open Source Report még arról számolt be, hogy az 1 millió kódsornál többől álló nyílt forrású projektek átlagos hibasűrűsége 0,65. A LibreOffice-hoz hasonló méretű proprietary szoftvereknél ez az érték 0,71.

A Windows összes támogatott verzióját (kivéve a Windows Server 2003-at) érintő 0day sebezhetőség aktív, korlátozott, célzott kihasználására figyelmeztet a Microsoft. A Microsoft Security Advisory 3010060 alatt leírt "Vulnerability in Microsoft OLE Could Allow Remote Code Execution" sebezhetőség a CVE-2014-6352 azonosító alatt fog szerepelni (hasonló sebezhetőségről volt szó nemrég a SandWorm kapcsán).

A tegnap tárgyalt bash sebezhetőség a "Shellshock" (Bashdoor, Bash0day) nicknevet kapta. A hírek szerint a támadók nem tétlenkedtek, megszülettek a sebezhetőség kihasználására az első exploitok és megformálódtak az első komolyabb botnetek is.

Ilyen botnet például a "wopbot", amely aktívan szkenneli az internetet sebezhető hostok után kutatva. A botnet nem csak újabb áldozatokat keres, hanem állítólag már DDoS támadást is indított az Akamai ellen, illetve - sandbox-ban való elemzésből - kiderült, hogy folyamatosan szkenneli az Amerikai Védelmi Minisztérium (US DoD) IP-címtartományát "brute force" támadás céllal.

A részletek itt és itt olvashatók.

Súlyos, távolról kihasználható sebezhetőséget fedeztek fel a bash-ban. A HUP fórumból:

http://linux.slashdot.org/story/14/09/24/1638207/remote-exploit-vulnera…

A flaw was found in the way Bash evaluated certain specially crafted environment variables. An attacker could use this flaw to override or bypass environment restrictions to execute shell commands. Certain services and applications allow remote unauthenticated attackers to provide environment variables, allowing them to exploit this issue.

A Samba projekt egy figyelmeztetőt (CVE-2014-3560) adott ki a minap, amelyben arról tájékoztat, hogy a Samba 4.0.0-tól 4.1.10-ig terjedő verziói nmbd daemon-ja súlyos sebezhetőséget tartalmaz. A sebezhetőség sikeres kihasználása távoli (root) kódfuttatást tehet lehetővé.

A hibát Volker Lendecke, a Samba team tagja fedezte fel és javította ki. Részletek a figyelmeztetőben.

"Múlt héten egy teljes munkanapra leállt az Exchange Online, a Microsoft szolgáltatásként kínált email-rendszere. A mintegy 9 órás leállás az amerikai keleti parti munkaidő egészére kiterjedt, Európában azonban viszonylag csekély hatása volt az időeltolódás miatt. A Microsoft most rövid bejegyzésben ismertette a hiba okait és azt, hogy a jövőben mit tesznek az ilyen problémák elkerülésére."

A teljes cikk itt olvasható.

A Lab Mouse Security arról ír, hogy a Lempel-Ziv-Oberhumer (LZO) tömörítési algoritmussal (illetve annak implementációival) gondok vannak. A blog szerint egy 20 éves bug van jelen benne/bennük. Mivel az LZO gyors és hatékony, számos, sokak által nap mint nap használt nyílt és zárt programban, projektben előfordul. A blog említ is néhányat: OpenVPN, MPlayer2, Libav, FFmpeg, a Linux kernel, Juniper Junos stb. Sőt, nem csak a Földön használják. A blog szerint az LZO a Marsot is megjárta.

Egy új sebezhetőséget fedeztek fel a Linux disztribúciók által széles körben szállított GnuTLS crypto library-ben. A hiba technikai elemzése elolvasható itt. Patch már van, így érdemes mielőbb frissíteni. Részletek az Ars Technica cikkében.