GHOST néven emlegetik egyes biztonsági szakemberek azt a kritikus glibc gethostbyname buffer overflow sebezhetőséget, amely a CVE-2015-0235 azonosítót kapta a Common Vulnerabilities and Exposures adatbázisban. A sebezhetőség részleteit a Qualys közölte tegnap. Az elemzést végző cég számos tényezőt azonosított, ami mérsékli a bug hatásait. Ilyen tényező például egy, a problémára 2013-ban napvilágot látott patch. Sajnos azonban a javításkor a bug biztonsági vonatkozásait nem ismerték fel, ezért számos, élesben használt rendszer a mai napig érintett. Ilyen rendszerek például a Debian 7 (wheezy), a Red Hat Enterprise Linux 6 és 7, a CentOS 6 és 7, az Ubuntu 12.04 LTS stb.

A Mozilla Foundation MFSA-2014-90 biztonsági figyelmeztetője elsősorban az OS X 10.10-es (kódnevén "Yosemite") kiadásán Mozilla termékeket (Firefox, Thunderbird) futtatók számára lehet érdekes, de más gyártók alkalmazásai is érintettek lehetnek.

A Coverity szerint a The Document Foundation által karbantartott LibreOffice kódja példaértékű abból a szempontból, hogy egyike azoknak, amelyek a legkisebb hibasűrűséggel rendelkeznek. Köszönhető ez annak, hogy a közösség intenzív elemzés alá vetette a kódbázist és javította a talált hibákat.

A 2013 Coverity Scan Open Source Report még arról számolt be, hogy az 1 millió kódsornál többől álló nyílt forrású projektek átlagos hibasűrűsége 0,65. A LibreOffice-hoz hasonló méretű proprietary szoftvereknél ez az érték 0,71.

A Windows összes támogatott verzióját (kivéve a Windows Server 2003-at) érintő 0day sebezhetőség aktív, korlátozott, célzott kihasználására figyelmeztet a Microsoft. A Microsoft Security Advisory 3010060 alatt leírt "Vulnerability in Microsoft OLE Could Allow Remote Code Execution" sebezhetőség a CVE-2014-6352 azonosító alatt fog szerepelni (hasonló sebezhetőségről volt szó nemrég a SandWorm kapcsán).

A tegnap tárgyalt bash sebezhetőség a "Shellshock" (Bashdoor, Bash0day) nicknevet kapta. A hírek szerint a támadók nem tétlenkedtek, megszülettek a sebezhetőség kihasználására az első exploitok és megformálódtak az első komolyabb botnetek is.

Ilyen botnet például a "wopbot", amely aktívan szkenneli az internetet sebezhető hostok után kutatva. A botnet nem csak újabb áldozatokat keres, hanem állítólag már DDoS támadást is indított az Akamai ellen, illetve - sandbox-ban való elemzésből - kiderült, hogy folyamatosan szkenneli az Amerikai Védelmi Minisztérium (US DoD) IP-címtartományát "brute force" támadás céllal.

A részletek itt és itt olvashatók.

Súlyos, távolról kihasználható sebezhetőséget fedeztek fel a bash-ban. A HUP fórumból:

A Samba projekt egy figyelmeztetőt (CVE-2014-3560) adott ki a minap, amelyben arról tájékoztat, hogy a Samba 4.0.0-tól 4.1.10-ig terjedő verziói nmbd daemon-ja súlyos sebezhetőséget tartalmaz. A sebezhetőség sikeres kihasználása távoli (root) kódfuttatást tehet lehetővé.

A hibát Volker Lendecke, a Samba team tagja fedezte fel és javította ki. Részletek a figyelmeztetőben.

"Múlt héten egy teljes munkanapra leállt az Exchange Online, a Microsoft szolgáltatásként kínált email-rendszere. A mintegy 9 órás leállás az amerikai keleti parti munkaidő egészére kiterjedt, Európában azonban viszonylag csekély hatása volt az időeltolódás miatt. A Microsoft most rövid bejegyzésben ismertette a hiba okait és azt, hogy a jövőben mit tesznek az ilyen problémák elkerülésére."

A teljes cikk itt olvasható.

A Lab Mouse Security arról ír, hogy a Lempel-Ziv-Oberhumer (LZO) tömörítési algoritmussal (illetve annak implementációival) gondok vannak. A blog szerint egy 20 éves bug van jelen benne/bennük. Mivel az LZO gyors és hatékony, számos, sokak által nap mint nap használt nyílt és zárt programban, projektben előfordul. A blog említ is néhányat: OpenVPN, MPlayer2, Libav, FFmpeg, a Linux kernel, Juniper Junos stb. Sőt, nem csak a Földön használják. A blog szerint az LZO a Marsot is megjárta.

Egy új sebezhetőséget fedeztek fel a Linux disztribúciók által széles körben szállított GnuTLS crypto library-ben. A hiba technikai elemzése elolvasható itt. Patch már van, így érdemes mielőbb frissíteni. Részletek az Ars Technica cikkében.

A Corelan-os Peter "corelanc0d3r" Van Eeckhoutte tavaly talált egy kritikus "use after free" IE8 sebezhetőséget, amelynek leírását, részleteit eladta a HP tulajdonában levő Zero Day Initiative-nek (ZDI). A ZDI az így megszerzett információkat biztonsági termékeiben felhasználja, így védi ügyfeleit. A ZDI az irányelveinek megfelelően 2013. októberében értesítette a sebezhetőségről a Microsoft-ot. A ZDI a saját protokollja szerint 180 napig visszatartotta a sebezhetőség részleteit, időt adva a gyártónak a javítás elkészítésére.

A Microsoft 2014. februárjában megerősítette, hogy reprodukálni tudja a hibát, de javítást nem tett közzé. 2014. áprilisának elején a ZDI 180 napos türelmi ideje lejárt, így május elején értesítette a Microsoft-ot, hogy nyilvánosságra hozza a sebezhetőség részleteit. A nyilvánosságra hozatal 2014. május 21-én megtörtént.

Alan Coopersmith ma bejelentette, hogy az IOActive-os Ilja van Sprundel (korábbi cikkünk) segítségével az X.Org security team több libXfont library-vel kapcsolatos súlyos biztonsági problémát is javított. A bejelentésben az olvasható, hogy az X.Org csapat úgy hiszi, hogy a sebezhetőségek a nevezett library összes korábbi verzióját érintik. A library az X11R5-ben mutatkozott be 1991-ben.

$ gcc cve-2014-0196-md.c -lutil -lpthread
$ ./a.out
[+] Resolving symbols
[+] Resolved commit_creds: 0xffffffff81056694
[+] Resolved prepare_kernel_cred: 0xffffffff810568a7
[+] Doing once-off allocations
[+] Attempting to overflow into a tty_struct...............
[+] Got it :)
# id
uid=0(root) gid=0(root) groups=0(root)

PoC a CVE-2014-0196-hoz itt.

Úgy tűnik, hogy a Ksplice május 7-én letöltötte a megfelelő patchet és menet közben javította a kernelt a támogatott rendszereken:

Egy biztonsági szakértő arra figyelmeztet, hogy egy bug folytán az iOS 7 nem (minden esetben) titkosítja a levélmellékleteket - noha az Apple szerint kellene neki. A bugot felfedező Andreas Kurtz kapcsolatba lépett az Appel-lel. A vállalat jelezte, hogy tud a problémáról, dolgozik a javításon, de nem adott konkrét időpontot arra nézve, hogy mikorra várható a javítás.

A FireEye Research Labs egy új, Internet Explorer-t érintő 0day sebezhetőséget fedezett fel. A sebezhetőséget aktívan kihasználják. A sebezhetőség kihasználását célzó kampányt a FireEye "Operation Clandestine Fox"-nak nevezte el.

A Heartbleed bug fenekesül felfordította az internetet. A súlyos biztonsági hibát ejtő fejlesztő, a német Robin Seggelmann beszélt a bug bemutatkozásának körülményeiről. A fejlesztő sajnálatosnak nevezte, hogy mind az ő, mind a kód átnézőjének figyelmét elkerülte a hiba, amelyet 2011 szilveszter éjjelén commitoltak.

Részletek itt és itt.

Hivatalosan a CVE-2014-0160 azonosítót kapta az a súlyos OpenSSL sebezhetőség, amelyre Heartbleed Bug-ként is hivatkoznak. A biztonsággal foglalkozó Codenomicon Ltd. egy saját weboldalt készített a bugnak, amelyen minden fontos információt elérhetővé tett.

A hibát a Google Security munkatársa, Neel Mehta fedezte fel. A javítást Adam Langley és Bodo Moeller készítette el.

A részletek - benne a potenciálisan sebezhető operációs rendszerek listájával - itt.

A GnuTLS fejlesztők egy szűkszavú biztonsági figyelmeztetőt adtak ki a minap. Benne az szerepel, hogy a Red Hat-nek végzett kódaudit során biztonsági problémát találtak a GnuTLS-ben. A sebezhetőség - amely az összes GnuTLS verziót érinti és amely úgy fest, hogy 2005 óta jelen van - a tanúsítvány-ellenőrzési funkciót érinti. Egy megfelelően összeállított tanúsítvány képes lehet áthágni a tanúsítvány-érvényesítést végző ellenőrző funkciókat.

A Red Hat figyelmeztetője itt olvasható. Az Ars Technica cikke a "goto fail" "távoli rokonáról" elolvasható itt. A cikk szerint a hiba miatt alkalmazások százai sebezhetők a javított verzió telepítéséig.

Néhány órával ezelőtt felbukkant a GitHub-on egy PoC local root exploit a CVE-2014-0038 azonosító alatti bughoz. A hiba javítását január 31-én commit-elték a mainline kernelbe. A hiba ezen commit nyomán mutatkozott be. További részletek itt.

Tal Ater blogjában arról ír, hogy a Google Chrome-ban levő bugokat kihasználva rosszindulatú weboldalak hozzáférhetnek a gépedben levő mikrofonhoz és belehallgathatnak minden, a számítógép körül zajló beszélgetésbe, azután is, miután elnavigáltál a weboldalról. A problémát állítása szerint jelentette privátban a Google biztonsági csapatának tavaly szeptember 13-án. A Google biztonsági szakemberei azonosították a bugot és javaslatot tettek a javítására. A javítás 2013. szeptember 24-én elkészült, a felfedezőt pedig jelölték a Chromium bugok bejelentése után járó jutalomra. Sajnos a javítás nem érkezett meg. A bejelentés után másfél hónappal rákérdezett a helyzet állására, de azt a választ kapta, hogy az illetékesek még nem döntötték el, hogy mi legyen a buggal. Most, négy hónappal később, a felfedező állítja, hogy még mindig nem rendeződött a probléma és a Chrome még mindig sebezhető.

A részletek itt olvashatók.

A Google biztonsági szakemberei, köszönhetően az adatközpontjaikban rendelkezésükre álló komoly számítási teljesítménynek, kiterjedt automatikus tesztek (fuzzing) alá vethetik az általuk fontosnak vélt programokat, projekteket. Az egyik ilyen belső projektjük az FFmpeg tesztelése volt. A FFmpeg-et számos alkalmazás - Google Chrome, MPlayer, VLC, xine stb. - használja, ezért fontos a biztonsága.

Több mint két évnyi munka után az FFmpeg projekt több mint 1000 olyan hibát javíthatott ki, amelyet a Google mérnökei fedeztek fel. Ezek közt biztonsági hibák is találhatók. Ezzel párhuzamosan a Libav projekt - FFmpeg fork - is javított több mint 400 hibát.

Részletek a Google Online Security Blog bejegyzésében.

Maxim Dounin egy, az nginx-announce listára küldött levele szerint Greg MacManus egy biztonsági problémát fedezett fel az nginx újabb verziói közül néhányban. A "stack-based buffer overflow" sebezhetőség sikeres kihasználása magában hordozza a távoli kódfuttatás lehetőségét. Érintett nginx verziók: 1.3.9 - 1.4.0. A sebezhetőség javításra került a ma megjelent 1.5.0-s és 1.4.1-es verziókban. A problémát orvosló patch itt.

Részletek a bejelentésben.

Andy Lutomirski egy rakás olyan biztonsági probléma leírását tette közzé az LKML-en, amelyet a legfrissebb stable frissítésekben javításra kerültek. Az egyik egy meglehetősen komoly user namespace sebezhetőség (uid 0 shell capabilities nélkül, de egyszerűen eszkalálható teljes értékű root shellé), amely a 3.8-as kernelben tűnt fel. Egy másik a 2.6.36 idejére datálódik. Lutomirski PoC exploit kódokat is mellékelt.

Részletek a bejelentésben.