A Google alkalmazásában álló Tavis Ormandy egy olyan Windows sebezhetőségről számolt be tegnap a full-disclosure levlistán, amely feltehetően az összes 32 bites x86-os Windows kernel verziót érinti a Windows NT-től kezdve egészen a Windows 7-ig. A sebezhetőség potenciálisan lehetőséget nyújt a privilégiumok nélküli felhasználónak arra, hogy az tetszőleges kódot injektáljon a Windows kernelbe. Ormandy azt állítja, hogy a sebezhetőségről tavaly júniusban értesítette a Microsoft-ot, aki meg is erősítette a biztonsági szakember által megállapítottakat még abban a hónapban. Sajnálatos módon javítás azonban azóta sincs.

Tegnapelőtt a Microsoft elismerte, hogy egy 0day Internet Explorer sebezhetőség volt az egyik vektor, amely mentén támadást indítottak a Google és feltehetően több másik nagyvállalat ellen. A támadássorozatnak már neve is van: Operation Aurora. A szoftvergyártó egy biztonsági figyelmeztetőt is publikált, illetve azt ígérte, hogy a megfelelő minőség-ellenőrzés után a javítást terjeszteni fogja az ügyfelei számára. A vállalat közlésében az szerepelt, hogy csak korlátozott és célzott támadásokról tudnak. Ez most megváltozhat, hiszen az exploit most már szabadon kering az interneten.

A Jörg Schilling - a cdrecord hírhedt szerzője, Linux-ból kiábrándult OpenSolaris szószóló - által adminisztrált, BerliOS néve hallgató, nyílt forrású projekteket hostoló site weboldalát feltörték és deface-elték. A lecserélt weboldalon az volt olvasható, hogy az oldal 2005 óta volt feltörve.

A Google a napokban jelentette be, hogy kifinomult és célzott támadást indítottak ellene, illetve körülbelül két tucat amerikai nagyvállalat ellen Kínából. Ezért a keresőóriás átértékelte Kínával kapcsolatos hozzáállását és bejelentette, hogy kész kivonulni az országból. A bejelentés nagy port kavart fel, még az Egyesült Államok külügyminisztere is megszólalt az ügyben, választ várva a kínai kormányzattól.

A bejelentés után megindult a találgatás arról, hogy milyen hibákat használhattak ki a támadók. Felröppent a hír, hogy 0day Internet Explorer sebezhetőség lehetett a támadás egyik segítője. A Microsoft tegnap elismerte, hogy ez így van.

Úgy tűnik, hogy az ausztrál (és új-zélandi) EFTPOS rendszer és a mobiltelefonok/szolgáltatók mellett másoknak is problémája akadt a 2010-re váltással. A H-Security egyik cikke szerint a német Postbank ügyfelei nem tudtak a hétvégén pénzt felvenni az EC és más EMV chip-es kártyákat elfogadó ATM-ekből. Az ATM-ek hibátlanul működtek, de mégis elutasítottak egyes kártyákat. A vizsgálat során kiderült, hogy a problémás kártyákon alkalmazott chip hibája miatt okozott gondot a 2010-es év feldolgozása. Az ATM-ek átkonfigurálásával oldották meg a gondot. A Postbank mellett a Symantec és a Cisco sem vette akadálymentesen a 2010-es év elejét. Az egyiknél a Symantec Endpoint Protection termék, a másiknál Content Switching Module (CSM) köhögött az újév beköszöntével. A SAP ügyfelek pedig könnyen 2100-ban találhatták magukat. További részletek itt (hozzászólások).

Úgy tűnik, hogy idén sem maradnak el az évváltással járó problémák. 2009 elején a Y2K9 bug döntötte halomra a Microsoft Zune egyes példányait. Most arról jöttek hírek, hogy az ausztrál EFTPOS gépek közül jelentős számú az újév beköszöntével 2016-ra váltott. Emellett fórumokban arról számoltak be egyes felhasználók, hogy a Windows Mobile-t futtató készülékeiken (más készülékek is érintettek lehetnek) az újévi SMS-ek 2016-ból jönnek.

Soroush Dalili egy PDF dokumentumot publikált nemrég, amelyben arra hívja fel a figyelmet, hogy a Microsoft Internet Information Services (IIS) termék különböző verziói olyan biztonsági hibát tartalmaznak, amelyet a támadó sikeresen kihasználva kódot tölthet fel az áldozat webszerverére. A szerző a biztonsági hibát "highly critical for web applications" jelzővel illette. A bejelentés szerint a sebezhetőséget 2008 áprilisában fedezték fel, de csak most, 20 hónappal később, 2009 decemberében publikálták.

A Microsoft Internet Explorer 6-os és 7-es verzióját érintő 0day-t hozott nyilvánosságra tegnapelőtt K4mr4n_st a Bugtraq-on. A VUPEN "critical" besorolással illette. A biztonsági oldal szerint a teljesen felpatchelt Windows XP SP3 IE6 és IE7 böngészővel sebezhető. A VUPEN nem tud hivatalos javításról. Workaround: Active Scripting letiltása az Internet és Local intranet biztonsági zónákban. A részletek itt.

A Google szeptember végén jelentette be Google Chrome Frame névre hallgató IE plug-in-jét, amellyel megérkezett a Google Chrome renderer-je és Javascript engine-je az IE-be. A Microsoft szóvivője akkor azt nyilatkozta, hogy cége nem ajánlja a plug-in telepítését az IE felhasználóknak, mert azzal csökken az Internet Explorer biztonsága.

Laurent Gaffié egy olyan sebezhetőséget talált a Windows 7 és Windows Server 2008 R2 termékek SMB kliens implementációjában, amelynek sikeres kihasználása esetén távolról össze lehet omlasztani a rendszereket. A bug triggereléséhez nem kell feltétlen, hogy a felhasználó kezdeményezzen kapcsolatot a szerverrel, akár egy megfelelően összeállított HTML oldal is felhasználható a hiba előidézésére. Ha a csomagszűrő illetve a tűzfal átengedi az SMB csomagokat, akkor a támadás nem korlátozódik kizárólag a LAN-ra. A sebezhetőség felfedezője Python-ban írt egy proof-of-concept exploit-ot a hibára. A szakember november 8-án jelezte a problémát az MSRC-nek, amely még aznap megerősítette azt. Javítás egyelőre nincs. A részletek itt és itt.

Null pointer dereference hibát találtak a Linux kernel pipe.c fájljában. A hiba sikeres kihasználása a helyi támadó számára DoS-t, vagy privilégium-szint emelést tehet lehetővé. A H Security szerint azon a disztribúciók, amelyeken a mmap_min_addr értéke alapértelmezetten nagyobb 0-nál (pl. Ubuntu), nem sebezhetőek. Ahol 0 (pl. Red Hat, Debian), ott workaround-ként be lehet állítani ezt a sysctl változót nagyobbra. A hibát a 2.6.32-rc6 pre kernelben javították. A javítást október 21-én commit-olta Linus. A VUPEN hibajegye itt. További részletek itt. A Debian segítsége a sysctl knob megváltoztatásához itt.

Daniel Bartholomew egy blogbejegyzése szerint a C#-ban írt, számos Linux disztribúcióban jelen levő F-Spot képkezelő program károsnak tekinthető, mert önkényesen megváltoztatja képek EXIF adatait.

A H Securtiy szerint egy teljes mértékben működő exploit látott napvilágot az egyes Windows termékek SMB2 protokoll implementációjában található biztonsági hibához. A kód - integrálva a Metasploit Framework névre hallgató pentest keretrendszerbe - többféle támadásra ad lehetőséget, beleértve akár a megfelelő backdoor elhelyezését is az áldozat rendszerén.

A Coverity névre hallgató, forráskód-elemző megoldásokat gyártó vállalat publikálta 2009-es jelentését. Tavaly a vállalat arra jutott, hogy javult a nyílt forrású szoftverek minősége. Az aktuális jelentés pedig egyebek mellett arról szól, hogy nem állt meg a nyílt forrású szoftverek minőségének javulása. Részletek itt, a jelentés letölthető letölthető PDF formátumban innen.

A VLC fejlesztői egy hibajegyet adtak ki a minap, amelyben arra figyelmeztetnek, hogy a népszerű médialejátszóval történő, bizonyos MP4, ASF vagy AVI fájlok lejátszása esetén stack overflow következhet be. A probléma sikeres kihasználása esetén a rosszindulatú támadó akár tetszőleges kódot is végrehajthat a VLC kontextusában. Az érintett VLC verziókkal rendelkező felhasználóknak célszerű a nem megbízható forrásból származó médiafájlokat és weboldalakat kerülni. Workaround lehet a megadott demuxer pluginek eltávolítása a plugin könyvtárból. A VLC 1.0.2-es verziójában már javították a problémát. A hibajegy itt.

A Grsecurity mögött álló Brad Spengler (spender) egy videót tett közzé a tegnap, amelyen az látható, hogy egy 2.6.31-es kernelen root jogokhoz jut:

Egy, a Windows Vista-ban és a Windows 7-ben jelen levő bug lehetővé teszi a távoli (helyi hálózaton levő) támadó számára, hogy bizonyos beállítások mellett "elkékhaláloztathassa" az áldozat számítógépét. Az SMB2 protokoll implementációban található bug egy egyszerű python script-tel triggerelhető:

Frissítés #1 E blogbejegyzés szerint a bug nem csak BSOD okozására, hanem távoli kódfuttatásra és helyi privilégium-szint emelésre is felhasználható lehet. A blog szerint a Windows Server 2008 is érintett.
Frissítés #2 Az MSRC szerint érintett: Windows Vista, Windows Server 2008 és Windows 7 RC, nem érintett: Windows 7 RTM, Windows Server 2008 R2, Windows XP és Windows 2000
Frissítés #3 Microsoft SA 975497

A Microsoft arra figyelmeztet, hogy publikus bejelentés nyomán egy, az IIS FTP szolgáltatásában levő sebezhetőséget sebezhetőséget vizsgál. A sebezhetőség kihasználása távoli kódfuttatást tehet lehetővé a bizonyos módon konfigurált (write hozzáférés az untrusted anonymous felhasználóknak - nem default), érintett rendszereken a támadó számára. A kiadott figyelmeztető szerint a Microsoft Internet Information Services (IIS) 5.0, 5.1 és 6.0 lehet érintett. A hiba kihasználásra részletes exploit érhető el az interneten. Az érintett és nem érintett operációs rendszerek listája a figyelmeztetőben található. A Kingcope által jegyzett exploit Win2K SP4-hez megtalálható a milw0rm oldalon. Egy videó található itt a hiba kihasználásáról (IIS5). IIS6-hoz nincs egyelőre ismert exploit. További részletek itt és itt.

Răzvan Musăloiu-Elefteri blogjában arról ír, hogy a Mac OS X 10.5 nyolcadik update-jével az Apple egy több mint négy éves biztonsági sebezhetőséget javított ki az OS X kernelében. A bug az fcntl hívás kezelésével kapcsolatos. A bugot a CVE-2009-1235 hibajegyben írták le és úgy tűnik, hogy az első (local root) exploit 2008 júliusában készült hozzá.

Kritikus biztonsági sebezhetőséget tartalmaz a Pidgin névre hallgató, népszerű azonnali üzenetküldő alkalmazás. A bug a Pidgin által használt libpurple library-ban található. A hiba kihasználása esetén a rosszindulatú támadó kódot injektálhat és hajthat végre az áldozat számítógépén. A hiba sikeres kihasználásához nincs szükség interaktivitásra az áldozat részéről és a sikeres támadás véghezvitelének nem feltétele, hogy a támadó szerepeljen az áldozat "buddy" listáján.

A nagyobb Linux disztribútorok közül a Debian és a Fedora elvégezték a nemrég bejelentett, a Google biztonsági csapatához tartozó Tavis Ormandy és Julien Tinnes által felfedezett, a kernelben 2001 óta jelen levő helyi root sebezhetőség javítását. A Debian frissítette kernelcsomagjait a Debian 5.0-hoz (Lenny) és Debian 4.0-hoz (Etch). A Fedora szintén javította a kernelcsomagokat a Fedora 10-hez és 11-hez. A többi disztribútortól - mint az openSUSE és az Ubuntu - még nem érhetők el a javítások.

Ubuntu 9.04-re elérhető már egy ideje a hibát javító, reboot-ot nem igénylő Ksplice update. (Ksplice update ID: k3122np0)

A napokban fény derült arra, hogy a Microsoft már több mint két éve tudott arról az Office Web Components-ben (OWC) levő kritikus biztonsági hibáról, amelyen a legutóbbi patch kedden javított. A vállalat csak azután kezdte csipkedni magát a javítás elkészítésére, miután tudomására jutott, hogy a hibát aktívan kihasználják.

A WordPress névre hallgató, kedvelt blogmotor legfrissebb stabil verziója (<= 2.8.3) egy olyan sebezhetőséget tartalmaz, amely lehetővé teszi a távoli támadó számára az adminisztrátori jelszó reset-elését. A hiba kihasználásához csak az "elveszett jelszó" linket kell speciálisan formázni. A hibát Laurent Gaffié jelentette be tegnap. Levele az PoC példával elolvasható itt. Először a bejelentés még arról szólt, hogy a hibát ki lehet használni az admin account feltöréséhez, de később a bejelentő "javította" magát és módosította a "to compromise"-ot, "to reset"-re.

A bejelentés pillanatában javítás még nem volt elérhető a WordPress projekttől.

A SecurityTracker egyik figyelmeztetője szerint egy, a Windows XP kernelében található sebezhetőség lehetővé teszi a helyi felhasználó számára privilégium-szintjének emelését. A helyi felhasználó meghívva a win32k.sys-ben található NtUserConsoleControl() függvényt tetszőleges kódot hajthat végre a rendszeren emelt privilégium-szinttel.

Júniusban Jonathan Ness azt írta egy, a hibára publikált 0day-re a Microsoft Security Research & Defense blogban, hogy futtatásához adminisztrátori jogok kellenek, és ugyan tovább vizsgálják a problémát annak érdekében, hogy kiderüljön, kihasználható-e privilégium-szint emelésre, a hiba "reliability" problémának látszik inkább, mintsem biztonsági sebezhetőségnek.

A minap a milw0rm-on felbukkant egy proof-of-concept exploit. A Virtualbox guest-en futtatott kód alkalmas a host összeomlasztására (a host rebootol). Több különböző guest operációs rendszeren kipróbálták (Windows XP, Windows 7 RC, Ubuntu 9.04).