Bug

A Corelan-os Peter "corelanc0d3r" Van Eeckhoutte tavaly talált egy kritikus "use after free" IE8 sebezhetőséget, amelynek leírását, részleteit eladta a HP tulajdonában levő Zero Day Initiative-nek (ZDI). A ZDI az így megszerzett információkat biztonsági termékeiben felhasználja, így védi ügyfeleit. A ZDI az irányelveinek megfelelően 2013. októberében értesítette a sebezhetőségről a Microsoft-ot. A ZDI a saját protokollja szerint 180 napig visszatartotta a sebezhetőség részleteit, időt adva a gyártónak a javítás elkészítésére.

A Microsoft 2014. februárjában megerősítette, hogy reprodukálni tudja a hibát, de javítást nem tett közzé. 2014. áprilisának elején a ZDI 180 napos türelmi ideje lejárt, így május elején értesítette a Microsoft-ot, hogy nyilvánosságra hozza a sebezhetőség részleteit. A nyilvánosságra hozatal 2014. május 21-én megtörtént.

Alan Coopersmith ma bejelentette, hogy az IOActive-os Ilja van Sprundel (korábbi cikkünk) segítségével az X.Org security team több libXfont library-vel kapcsolatos súlyos biztonsági problémát is javított. A bejelentésben az olvasható, hogy az X.Org csapat úgy hiszi, hogy a sebezhetőségek a nevezett library összes korábbi verzióját érintik. A library az X11R5-ben mutatkozott be 1991-ben.

$ gcc cve-2014-0196-md.c -lutil -lpthread
$ ./a.out
[+] Resolving symbols
[+] Resolved commit_creds: 0xffffffff81056694
[+] Resolved prepare_kernel_cred: 0xffffffff810568a7
[+] Doing once-off allocations
[+] Attempting to overflow into a tty_struct...............
[+] Got it :)
# id
uid=0(root) gid=0(root) groups=0(root)

PoC a CVE-2014-0196-hoz itt.

Úgy tűnik, hogy a Ksplice május 7-én letöltötte a megfelelő patchet és menet közben javította a kernelt a támogatott rendszereken:

Egy biztonsági szakértő arra figyelmeztet, hogy egy bug folytán az iOS 7 nem (minden esetben) titkosítja a levélmellékleteket - noha az Apple szerint kellene neki. A bugot felfedező Andreas Kurtz kapcsolatba lépett az Appel-lel. A vállalat jelezte, hogy tud a problémáról, dolgozik a javításon, de nem adott konkrét időpontot arra nézve, hogy mikorra várható a javítás.

A FireEye Research Labs egy új, Internet Explorer-t érintő 0day sebezhetőséget fedezett fel. A sebezhetőséget aktívan kihasználják. A sebezhetőség kihasználását célzó kampányt a FireEye "Operation Clandestine Fox"-nak nevezte el.

A Heartbleed bug fenekesül felfordította az internetet. A súlyos biztonsági hibát ejtő fejlesztő, a német Robin Seggelmann beszélt a bug bemutatkozásának körülményeiről. A fejlesztő sajnálatosnak nevezte, hogy mind az ő, mind a kód átnézőjének figyelmét elkerülte a hiba, amelyet 2011 szilveszter éjjelén commitoltak.

Részletek itt és itt.

Hivatalosan a CVE-2014-0160 azonosítót kapta az a súlyos OpenSSL sebezhetőség, amelyre Heartbleed Bug-ként is hivatkoznak. A biztonsággal foglalkozó Codenomicon Ltd. egy saját weboldalt készített a bugnak, amelyen minden fontos információt elérhetővé tett.

A Heartbleed bug lehetővé teszi bárki számára az interneten, hogy olvassa az OpenSSL szoftver sebezhető verziójával védett rendszerek memóriáját. [...] Ezzel lehetővé válik a támadók számára a kommunikációk lehallgatása, a közvetlen adatlopás a szolgáltatásoktól és felhasználóktól, illetve a szolgáltatások és felhasználók megszemélyesítése. [...] A támadó szemszögéből megvizsgáltunk a saját szolgáltatásaink közül néhányat. Megtámadtuk magunkat kívülről, anélkül, hogy nyomokat hagytunk volna. Bármiféle privilegizált információ vagy hitelesítő adat használata nélkül képesek voltunk ellopni magunktól az X.509 tanúsítványainkhoz használt privát kulcsokat, a felhasználóneveket és jelszavakat, az csevegés üzeneteket, az e-maileket, üzleti-kritikus dokumentumokat és kommunikációkat.

A hibát a Google Security munkatársa, Neel Mehta fedezte fel. A javítást Adam Langley és Bodo Moeller készítette el.

A részletek - benne a potenciálisan sebezhető operációs rendszerek listájával - itt.

A GnuTLS fejlesztők egy szűkszavú biztonsági figyelmeztetőt adtak ki a minap. Benne az szerepel, hogy a Red Hat-nek végzett kódaudit során biztonsági problémát találtak a GnuTLS-ben. A sebezhetőség - amely az összes GnuTLS verziót érinti és amely úgy fest, hogy 2005 óta jelen van - a tanúsítvány-ellenőrzési funkciót érinti. Egy megfelelően összeállított tanúsítvány képes lehet áthágni a tanúsítvány-érvényesítést végző ellenőrző funkciókat.

A Red Hat figyelmeztetője itt olvasható. Az Ars Technica cikke a "goto fail" "távoli rokonáról" elolvasható itt. A cikk szerint a hiba miatt alkalmazások százai sebezhetők a javított verzió telepítéséig.

Néhány órával ezelőtt felbukkant a GitHub-on egy PoC local root exploit a CVE-2014-0038 azonosító alatti bughoz. A hiba javítását január 31-én commit-elték a mainline kernelbe. A hiba ezen commit nyomán mutatkozott be. További részletek itt.