Bug

Óóó, a régi szép idők, amikor a gyakran voltak súlyos hibák a Sendmail-ben... Az utóbbi időkben egész úgy tűnt, hogy vége a bugos korszaknak, de most újra súlyos hibát fedeztek fel a szoftverben.

A KDE Konqueror böngésző KJS (javascript) moduljában Maksim Orlovich puffer túlcsordulási sebezhetőséget fedezett fel. A hiba kihasználásával a böngésző lefagyasztása és elvileg tetszőleges kódfutattás is lehetséges. A részletek a kde.org advisory-jában olvashatók.

A konqueror 3.2.0-tól 3.5.0-ig terjedő verziói érintettek.

A következő patchek javítják a hibát:

3.4.x - 3.5.0 verziókhoz: ftp://ftp.kde.org/pub/kde/security_patches/post-3.4.3-kdelibs-kjs.diff

3.2.x - 3.3.2 verziókhoz: ftp://ftp.kde.org/pub/kde/security_patches/post-3.2.3-kdelibs-kjs.diff

A nagy visszhangot kiváltó Windows metafile hiba a Linuxon/BSD-ken Wine-t használókat is érinti.

A Microsoft tegnap frissítette a WMF sebezhetőségről szóló figyelmeztetőjét. A frissítés tartalmazza a hibára kifejlesztett javítás kiadásának tervezett dátumát, és egy frissített FAQ-t is, amelyből megtudhatjuk, hogy a Microsoft ajánlja-e a 3rd party javítások alkalmazását, vagy éppen azt, hogy a DEP bekapcsolása megakadályozza-e az exploit működését.Szóval. A Microsoft befejezte a javítás fejlesztését, jelenleg a minőségi ellenőrzés, lokalizáció folyik. A cég célja, hogy a javítás 2006. január 10-én megjelenjen. A javítás a havi security bulletin-nel együtt jön majd.

A FAQ szerint a szoftveres DEP bekapcsolása nem akadályozza meg a hibát. A hardveres DEP segíthet, de nyilván ahhoz olyan hardverrel kell rendelkeznie a felhasználónak, ami támogatja ezt a funkciót. Azt javasolják a felhasználóknak, hogy lépjenek kapcsolatba a hardvert eladó céggel a bővebb infóért.

Arra a kérdésre, hogy mi az álláspontja az MS-nek a 3rd party fixekről, a cég azt válaszolta, hogy azt javasolják, hogy a felhasználók várják meg a hivatalos Microsoft-os javítást, mert a 3rd party patcheknél nem tudják szavatolni a patchek minőségét.

A frissített figyelmeztető itt.

Múlt hét közepén került napvilágra az a tény, hogy a Microsoft Windows (98, ME, XP, 2003 Server, stb.) operációs rendszerek grafikus leképezőmotorjában eddig még javítatlan, súlyos hiba található, amelyet speciálisan formázott kép filelal ki lehet használni. A hibát kihasználó tetszőleges kódot tud végrehajtani a védtelen rendszeren annak a felhasználónak a nevében, aki a deformált filet megnyitotta.

A Microsoft elismerte, hogy a hiba rendkívül súlyos, de azt is olvashattuk, hogy a hibára nem ad ki a cég rendkívüli javítást, hanem valószínűleg a security update-en keresztül, csak a szokásos havi frissítésekkel együtt juthatunk majd hozzá. Lehet, hogy előbb is, ez majd a felhasználók igényeitől függ. A Microsoft Security Response Center blogban azt olvashatjuk, hogy a hiba csak akkor érinthet minket, ha a támadó rá tud venni minket arra, hogy meglátogassunk olyan ártó szándákkal preparált weboldalt, amely tartalmazza az exploitot, vagy megnyitunk (vagy a betekintő automatikusan megnyitja?) olyan e-mail mellékletet, amelyben szintén benne van az exploit.

Közben azonban a féreg egyre több irányból támad. A SANS és vírusirtó cégek blogjaiban felbukkant infók szerint egy új worm terjed az IM hálózatokon. Az egyik bejegyzés szerint Hollandiában bukkant fel egy féreg, amely az MSN hálózaton terjed, és egy deformált WMF filera mutató linket küldözget. A link xmas-2006 FUNNY.jpg-re végződik. A blog figyelmeztet, hogy ügyeljünk arra, hogy kitől, és milyen újévi üdvözletet olvasunk el!

A worm-ról szintén szól az F-Secure blogja is.

Szintén a F-Secure blogban olvashatjuk, hogy ugyan hivatalos javítás még nincs a Microsoft-tól - és ha hinni lehet a blogjuknak, akkor valószínűleg csak ezért külön nem is csinálnak -, de már elérhető egy kezdetleges, ideiglenes javítás-féleség Ilfak Guilfanov-tól. A javítás megpatcheli a GDI32.DLL-ben az Escape() funkciót, így biztosítva, hogy az exploit ne okozhasson problémát. Ezzel az ideiglenes javítással lehetővé válik, hogy továbbra is használhassuk a Windows thumbnail és képnézegető funkcióit, de nem kell tartanunk az esetleges ``fertőzéstől''. A hiba kijavítója nem ismeretlen ember, a blog szerint a világ egyik legképzettebb low-level Windows szakértőjéről van szó. Az ideiglenes fix készítője azt javasolja, hogy a használói távolítsák el azt, amikor a Microsoft kiadja a hivatalos javítást.

A washingtonpost.com mai cikkében ír a két nappal ezelőtt napvilágra került grafikus leképezőmotor WMF sebezhetőségről. A cikkben idézik Mike Reavey-t, aki a Microsoft Security Response Center-ének operation menedzsere. A menedzser a következőket mondta: ``nagyon komoly probléma''.

A cikk itt.

Egy másik cikk szerint nem kell feltétlenül pornó vagy crack oldalakat látogatni ahhoz, hogy Windows operációs rendszerünk prédájává váljon az exploitnak. Ha valaki nem elég felkészült és olyan oldalt látogat, ahol bizonyos 3rd party reklám hálózat rotációs popup-jai vannak, az már elég lehet a ``megfertőződéshez''.

A Secunia arra figyelmeztet, hogy a VMware NAT megvalósításában heap-based buffer overflow hiba van. Érintett a november végén megjelent Workstation és Player is.

Egészen pontosan a következő termékekekről van szó:

53 dollárt mindenképpen. Ennyin állt a licit, amikor a Microsoft kérésére az eBay eltávolította az aukciót az oldaláról.

A napokban egy személy fearwall néven eladásra kínált egy szerinte 0-day MS Excel exploitot az eBay-en. Az eladó nyíltan gúnyolta a Microsoftot, viccet csinált abból, hogy a szoftvergyártó késlekedik javítani egy ismert biztonsági hibát.Eladásra kínálta az exploitot, és kijelentette, hogy a Microsoft 10% engedmény kap a végső árból. A kedvezmény igénybevételéhez microsoftos email címmel kell rendelkezni, és LINUXRULZ jeligét kell használni. Az eladó az aukcióból befolyó bevétel egy részét különböző nyílt forrású projekteknek szánta.

Az eladó röviden ismertette a hibát. A Microsoft megerősítette a sebezhetőségről szóló hírt.

Részletek a SecurityFocus-on és az Eweek cikkében.

Mielőtt nekiállunk hőzöngeni... Azért, mert nagy számban olvassák az oldalt IE alól, és azért mert ezt nagy számban teszik Windows alól...

Szóval, a SecurityFocus-on jelent meg a hír, miszerint (számítógépes) ``biztonsági kutatók'' egy olyan zero-day IE exploitot publikáltak a héten, amely kódfuttatást tesz lehetővé a Windows-variánsok nagy részén.A hibára írtak egy proof-of-concept exploitot, amely a windowsos számológép programot tölti be (nyilván helyette bármi mást is végre lehetne hajtatni azzal a felhasználóval, amely az IE-t futtatja).

A Microsoft aggodalmát fejezte ki, hogy nem őt értesítették először, így nem kevés felhasználót tettek ki veszélynek. Az eredeti cikk írásának pillanatában javítás még nem volt, így az Active Scripting letiltása, vagy más böngészők használata lehet a megoldás.



Az eredeti cikk itt.

A McAffe szerint egy worm járja az internetet és támadja a webszervereket. Sebezhető PHP/CGI szkripteket keres (a közeli múltban ismerté vált awstat, xml-rpc, stb.). A hibajegy szerint ez a mostani féreg egy módosított leszármazottja a Linux/Slapper és BSD/Scalper worm-oknak.Mivel leszármazott, azokhoz hasonlóan scanneli a hálózatot, ``fertőz'', és terjed tovább. A sikeres támadás esetén az UDP 7111 / UDP 7222 portokon hallgat, és a /tmp-be egy lupii nevű file-t dob.

Bővebb infó itt.

(Valaki elmondaná nekem, hogy ez miért Linux hiba? A féreg neve Linux/Lupper.worm.)