Bug

Ahogy azt korábban Charlie Miller megjósolta, a Safari pillanatok alatt elvérzett az idei PWN 2 OWN biztonsági vetélkedőn. Másodikként az Internet Explorer 8 esett áldozatul, de a Firefox sem marad ki a sorból.

Az InfoWorld egyik cikke szerint "zero day" sebezhetőséget tartalmaz a Microsoft irodai programcsomagjának táblázatkezelő komponense, a Microsoft Excel. A hibát aktívan ki is használják. A Microsoft kedden jelezte, hogy tervezi a hiba foltozását, de azt nem mondta, hogy mikor. A hiba érinti a Microsoft Office 2007, Microsoft Office 2003, Microsoft Office 2002 és Microsoft Office 2000 termékeket. Szintén érintettek a következő Microsoft Mac-re készített termékei: Microsoft Office 2008, Microsoft Office 2004 és a Mac Open XML File Format Converter. A részletek bejelentésben és a IW cikkében.

A Microsoft kiadta februári biztonsági közlönyét. Benne kumulatív biztonsági frissítés az Internet Explorer-hez (távoli kódfuttatás - critical), a Microsoft SQL Server egyes verzióihoz (távoli kódfuttatás - important), de ami talán a legfontosabb, hogy javítás érkezett egy olyan távoli kódfuttatásra potenciálisan alkalmat adó, az Exchange 2000, 2003, 2007 összes támogatott verzióját érintő hibára, amelyet a támadó kihasználva képes lehet "Exchange Server service account" privilégiummal átvenni az irányítást az érintett rendszer felett. A javítás emellett javít egy DoS sebezhetőséget is. A részletek itt.

A VMware pénteken egy marék patchet adott ki a VMware ESX és ESXi termékeihez. A 2009-es év első biztonsági bejelentésében megtalálható az érintett termékek verzió szerinti listája. A javított hibák közt megtalálható a rendszerösszeomlás, szolgáltatásmegtagadás, potenciális tetszőleges kódfuttatás, stb. A bejelentés itt olvasható.

Tobias Klein kritikus sebezhetőséget talált a számos projekt - köztük a VLC, MPlayer, Perian, Xine - által használt népszerű FFmpeg library-ban. A sebezhetőséget kihasználva a távoli támadó tetszőleges kódot futtathat az FFmpeg vagy az FFmpeg lib-et használó alkalmazás kontextusában. Az FFmpeg 16846-os SVN revíziót megelőző verziói érintettek. A projekt javítást adott ki sebezhetőségre. A részletek itt olvashatók.

Január elején számoltunk be arról, hogy a Nokia S60 készülékek SMS fogadó képessége megbénítható egy speciálisan összeállított rövid szöveges üzenettel. A Nokia most "javítást" adott ki a problémára.

Feltűnően sok reklamáció érkezett a vásárlóktól a Seagate nagy kapacitású Barracuda 7200.11 jelű merevlemezeivel kapcsolatban. A panaszok szerint a diszkek vagy "megállnak" az adatátvitel közben, vagy egyszerűen csak meghibásoknak. A gyártó elismerte, hogy hibás firmware okozza a problémát.

Több mint 30 nemzetközi vállalat és szervezet egyetértésével született meg az a lista, amely a 25 legveszélyesebbnek ítélt programozási hibát tartalmazza. Azokét a hibákét, amelyek olyan biztonsági problémákhoz vezethetnek, amelyeket a rosszindulatú támadók kihasználhatnak.

A Heise Security cikke szerint a listán szereplő hibák közül kettő is elég volt ahhoz, hogy több mint 1,5 millió betörést írjanak a számlájára 2008-ban. A hibák közül számos olyan van, amelyet a fejlesztők nem értenek elég jól, ezért a lista elkészítésének célja, hogy oktassa a fejlesztőket arra, hogy hogyan óvakodhatnak ezen hibáktól.

A kezdeményezés mögött a Mitre és a SANS intézet áll. A támogatást a US Homeland Security National Cyber Security Division-től és az NSA-tól kapták, amelyek részt vettek a lista összeállításában. A közreműködő vállalatok, szervezetek közt van a CERT, a Microsoft, az Oracle, a Red Hat, az Apple és Symantec.

A projekt hosszútávú céljai:

Az Amarok fejlesztői bejelentették a népszerű médialejátszó új, 2.0.1.1-es verzióját, amely számos sebezhetőséget és néhány kisebb hibát javít. Tobias Klein egyik figyelmeztetője szerint két egész túlcsordulás (integer overflow) és null pointer dereference probléma található a lejátszó < 2.0.1.1-es verzióiban.

Nem igazán profilunk (még), de mivel elég sokan használnak Nokia készülékeket, van értelme a tájékoztatásnak. Főleg úgy, hogy látszólag a legtöbb oldal még alszik az év ilyen korai szakaszában. Szóval, a Németországban megrendezett 25C3 biztonsági konferencián nem csak a "rogue" CA tanúsítványról esett szó, hanem "Curse of Silence" névre hallgató, egyes Nokia telefonok ellen használható "exploit"-ról is.