Január elején számoltunk be arról, hogy a Nokia S60 készülékek SMS fogadó képessége megbénítható egy speciálisan összeállított rövid szöveges üzenettel. A Nokia most "javítást" adott ki a problémára.

Feltűnően sok reklamáció érkezett a vásárlóktól a Seagate nagy kapacitású Barracuda 7200.11 jelű merevlemezeivel kapcsolatban. A panaszok szerint a diszkek vagy "megállnak" az adatátvitel közben, vagy egyszerűen csak meghibásoknak. A gyártó elismerte, hogy hibás firmware okozza a problémát.

Több mint 30 nemzetközi vállalat és szervezet egyetértésével született meg az a lista, amely a 25 legveszélyesebbnek ítélt programozási hibát tartalmazza. Azokét a hibákét, amelyek olyan biztonsági problémákhoz vezethetnek, amelyeket a rosszindulatú támadók kihasználhatnak.

A Heise Security cikke szerint a listán szereplő hibák közül kettő is elég volt ahhoz, hogy több mint 1,5 millió betörést írjanak a számlájára 2008-ban. A hibák közül számos olyan van, amelyet a fejlesztők nem értenek elég jól, ezért a lista elkészítésének célja, hogy oktassa a fejlesztőket arra, hogy hogyan óvakodhatnak ezen hibáktól.

A kezdeményezés mögött a Mitre és a SANS intézet áll. A támogatást a US Homeland Security National Cyber Security Division-től és az NSA-tól kapták, amelyek részt vettek a lista összeállításában. A közreműködő vállalatok, szervezetek közt van a CERT, a Microsoft, az Oracle, a Red Hat, az Apple és Symantec.

A projekt hosszútávú céljai:

Az Amarok fejlesztői bejelentették a népszerű médialejátszó új, 2.0.1.1-es verzióját, amely számos sebezhetőséget és néhány kisebb hibát javít. Tobias Klein egyik figyelmeztetője szerint két egész túlcsordulás (integer overflow) és null pointer dereference probléma található a lejátszó < 2.0.1.1-es verzióiban.

Nem igazán profilunk (még), de mivel elég sokan használnak Nokia készülékeket, van értelme a tájékoztatásnak. Főleg úgy, hogy látszólag a legtöbb oldal még alszik az év ilyen korai szakaszában. Szóval, a Németországban megrendezett 25C3 biztonsági konferencián nem csak a "rogue" CA tanúsítványról esett szó, hanem "Curse of Silence" névre hallgató, egyes Nokia telefonok ellen használható "exploit"-ról is.

No, akkor mindenki ellenőrizze, hogy milyen verziójú linuxos Adobe Flash Player plugin-t futtat. A legegyszerűbben ezt az Adobe Flash oldalának meglátogatásával lehet elvégezni. Ha a verziószám "10.0.15.3"-nál kisebb, akkor itt az ideje a frissítésnek.

Megjelent az Internet Explorer nemrég ismertté vált kritikus sebezhetőségét javító frissítés az MS08-078 számú Security Bulletinben (kb960714). Telepítése a változáskezelési eljárások betartásával, sürgősséggel javasolt minden érintett rendszerre. A részletek a Microsoft Security Bulletin MS08-078 figyelmeztetőben olvashatók.

Az Opera Software kiadta népszerű böngészőjének 9.6.3-as "recommended security upgrade" verzióját. A kiadás számos biztonsági hibát - köztük olyat, amelyet a gyártó "Extremely Severe" és "Highly Severe" besorolás alá helyezett -, így a frissítés erősen ajánlott. Az új verzió Windows, Linux, FreeBSD, Solaris és Mac OS X operációs rendszerekhez egyaránt megjelent. Részletek itt.

A Microsoft megerősítette, hogy gyakorlatilag az Internet Explorer összes verzióját (IE5.01, IE6, IE7 és IE8 Beta 2) érintheti (az IE7-et biztos, hogy érinti) az az eddig még javítás nélkül álló, a rosszindulatú támadó számára távoli kódfuttatást lehetővé tevő biztonsági probléma, amelyről a redmondi cég egyelőre elég szűkszavúan ad tájékoztatást.

Az osztrák Phion biztonsági cég alkalmazásában álló Thomas Unterleitner jelentette be pénteken, hogy olyan "stack buffer overflow" típusú hibát talált a Microsoft Vista hálózati rétegében, amelyet a megfelelő csoporttagsággal rendelkező, rosszindulatú támadó kihasználva összeomlaszthatja a rendszert, de a hibában benne van a kódinjektálás veszélye is.

A ZDNet egyik blogjában arról olvashatunk, hogy az Android platformot futtató G1 telefonok elég érdekesen sebezhetőek. A 1.0 TC4-RC29 vagy korábbi firmware-t futtató telefonoknak lehetőség van parancsot adni a telefon billentyűzetének segítségével úgy, hogy a begépelt parancsokat a telefon le is futtatja, "root jogokkal".

A VMware termékek hardver szolgáltatásokat emulálnak, megteremtve a lehetőségét a vendég (guest) operációs rendszerek futtatásának. Egy, a CPU hardver emulációban levő hiba lehetővé teszi a virtuális CPU számára, hogy az helytelenül kezelje a "Trap" flag-et. A hiba sikeres kihasználása privilégium szint emelésre adhat lehetőséget a vendég operációs rendszeren.

Az Ubuntu Security Notice 662-es kiadása szerint Anders Kaseorg egy biztonsági problémát (buffer overflow) fedezett fel az ndiswrapper-ben. Az "Ndis driver wrapper for the Linux kernel" szoftvercsomag legfrissebb stabil, 1.53-as verziója nem megfelelően kezeli a hosszú ESSID neveket. Ez lehetővé teszi a WiFi hatókörén belül tartózkodó támadó számára, hogy speciálisan összeállított wireless hálózati forgalom segítségével a hibát kihasználja és a "root" felhasználó nevében kódot futtasson. Ezzel szemben a Gentoo hibakövető rendszere "csak" kernel DoS-ról beszél. A részletek itt. Egy, a biztonsági problémát javító patch elérhető.

Az iPhone-hoz használható "unlock" program, a "Ziphone" mögött álló olasz szakértő, Piergiorgio Zambrini azt állítja, hogy egy olyan sebezhetőségre bukkant az Apple iPhone-jában, amelyet kihasználva a készüléken futó operációs rendszer összeomlik. Zambrini egyelőre nem írta le a bug jellemzőit. Értesítette az Apple-t és várhatóan csak jövő héten hétfőn publikálja a felfedezésének részleteit.

Nem sokkal a T-Mobile G1 piacra dobása után biztonsági szakértők arra figyelmeztettek, hogy potenciálisan kihasználható biztonsági sebezhetőség található az Android mobiltelefon platformban. Az Independent Security Evaluators (ISE) szerint speciálisan preparált weboldal meglátogatása Android-ot futtató mobiltelefonnal magában hordozza a rizikóját annak, hogy rosszindulatú támadó kódot futtathasson a rendszeren. A Google reagált a problémára és a T-Mobile-lal karöltve megkezdte a javítás terjesztését az érintett készülékek számára.

Aviv Raff izraeli biztonsági szakértő - amellett, hogy boldog új évet kívánt - két általa már régóta ismert iPhone biztonsági problémára hívja fel a figyelmet blogjában. Először júliusban írt a problémákról, de akkor a technikai részleteket visszatartotta. Értesítette az Apple-t, de az nem igazán foglalkozott a javítással. Mivel a gyártó a füle botját sem mozdította, viszont az értesítés óta már három kiadást (v2.0.1, v2.02, v2.1) is megért az iPhone firmware javítás nélkül, most közölte a részleteket. A szakértő szerint a problémák triviálisak és egyszerűen javíthatók lennének az Apple részéről. A részletek itt.

phpMyAdmin-t üzemeltetőknek érdemes figyelmet fordítani a stuffra, mert kiderült, hogy a népszerű MySQL matató eszköz összes verziója olyan sebezhetőségben szenved, amelyet rosszindulatú támadónak kódfuttatására adhat lehetőséget. A phpMyAdmin fejlesztők a hibát súlyosnak ítélik és javasolják a mielőbbi frissítést a nemrég kiadott 2.11.9.1-es vagy 3.0.0-rc2-es verziók valamelyikére. A részletek itt.

iPod vagy iPhone készülékek csatlakoztatásakor "kékhalált" okozhat a kedden kiadott iTunes 8 Windows Vista operációs rendszereken. A problémát nem sokkal azután vetették fel felhasználók az Apple Support fórumban, miután az iTunes 8-as verziója napvilágot látott kedden az Apple "Let's Rock" rendezvénye alatt. Az Apple egy "iTunes 8: If Windows Vista displays a blue screen error message when connecting iPhone or iPod" bejegyzést hozott létre azok segítendő azokat, akik belefutottak ebbe a problémába.

Mike Perry a Slashdot-on arra figyelmeztetett, hogy 30 nap telt el a DEFCON-on tartott HTTPS cookie hijacking témájú előadása óta, így itt az ideje, hogy szélesebb körben is elérhetővé tegye a CookieMonster névre hallgató "hacking tool"-t (readme first), amely kihasználhatja az érintett oldalak sebezhetőségét. Ahogy Mike írja, sem a támadás, sem az eszköz nem Gmail specifikus. Nem csak a Gmail szenved ebben a sebezhetőségben, hanem számos másik site is. Mike felajánlotta az SSL oldalakat üzemeltetőknek az eszközt. Aki ilyen oldalt üzemeltet, az egy "CookieMonster" tárgyú levélben kérheti az eszközt Mike-tól. A részletek itt olvashatók.

"Befoltozta a Chrome böngésző egyik kritikus hibáját a Google. A vietnámi szakértők által felfedezett sebezhetőség puffertúlcsordulásos támadások indítását tette lehetővé."

A népszerű Postfix MTA-val kapcsolatban adott ki biztonsági figyelmeztetőt ma a SUSE, és Wietse Venema vezető fejlesztő. A figyelmeztető(k) szerint a Postfix a beállításától függően újabb Linux, IRIX és Solaris rendszereken sebezhető lehet. A hibákat a SUSE Security-Team fedezte fel kódauditálás közben.

"All your VM's are belong to us" című blogbejegyzésében figyelmeztet minket Matthew Marlowe arra, hogy a mai naptól kezdve egy bug folytán a VMware ESX 3.5U2-n hostolt virtuális gépek leállítás után nem hajlandóak elindulni. Úgy tűnik, hogy valami bug van a VMware licencekezelő kódjában. A VMware vizsgálja a problémát és javítást ígér. Addig is, amíg a cég elkészül a javítással, ideiglenesen meg lehet kerülni a problémát az NTP szolgáltatás leállításával és a dátum kézzel történő visszaállításával. A futó virtuális gépek addig nem érintettek, amíg futnak, így kerülendő a leállításuk. A hibajegy szerint holnapra várható a javítás. A témában hosszú szál indult a VMware közösségi oldalán. Matthew blogbejegyzése itt olvasható.

Dan Kaminsky olyan problémát fedezett fel a DNS dizájnjában, amely "cache poisoning" típusú támadásra adhat alkalmat. A hibáról a US-CERT a Vulnerability Note VU#800113 bejegyzésben tesz említést, miközben az érintett gyártók a javított DNS szoftverek koordinált kiadására készülnek (illetve mivel a bejelentés tegnapi, már meg is kezdhették). A szakember a hibát az év korábbi szakaszában fedezte fel és azóta nagyszámú gyártóval együttműködve készült a javított programok egyidejű, összehangolt kiadására. A probléma nem csak a szervereket, hanem a klienseket is érinti. "A probléma rendkívül komoly, az összes DNS szervert javítani kellene, amilyen gyorsan csak lehetséges. [...] a probléma magával a DNS protokollal van, nem meghatározott implementációval. A jó hír, hogy ez egy olyan igazán szokatlan helyzet, mikoris a javítás nem fedi fel azonnal a sebezhetőséget és a visszafejtés közvetlenül nem lehetséges."

Frissítve: az eddigi ismeretek alapján érintett DNS megoldások listája megtalálható itt.

A C|Net Security rovatában értekezik Michael Horowitz az Internet Explorer aktuális sebezhetőségeiről. Június 26-án a ZDNet-es Ryan Naraine írt egy új 0day IE bugról. Nem sokkal később jelezte, hogy a "rossz fiúk" már ki is használják a sebezhetőséget. A bug a Vulnerability Note VU#516627 id alatt fut a US-CERT adatbázisában. Aviv Raff készített egy proof-of-concept kódot, amely azt demózza, ahogy a Google oldala be van injektálva a Microsoft Windows Update oldalába:

Nem sokkal a Firefox 3 hivatalos bejelentése után közölte a 3com érdekeltségébe tartozó, IPS-ek gyártására szakosodott TippingPoint, hogy a Zero Day Initiative kezdeményezésének birtokába került egy olyan, a Firefox 3-at érintő kritikus sebezhetőség leírása, amelynek sikeres kihasználása távoli kódfuttatásra adhat lehetőséget a rosszindulatú támadó számára. A sebezhetőség a hírek szerint érinti a korábbi (2.x) Firefox verziókat is.