Biztonsági figyelmeztetőt és workaround-ot adott ki a Microsoft a Duqu által kihasznált sebezhetőségre

 ( trey | 2011. november 4., péntek - 10:35 )

A CrySyS Adat- és Rendszerbiztonság Laboratórium hívta fel a figyelmet arra a Windows 0day sebezhetőségre, amelyet a Duqu névre keresztelt trójai használ ki aktívan. A Microsoft tegnap egy biztonsági figyelmeztetőt adott ki "Microsoft Security Advisory (2639658) - Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege" megnevezéssel.

A bejelentés szerint a Microsoft egy, a Win32k TrueType font parsing engine-ben található hibát vizsgál. A támadó a hiba sikeres kihasználása révén kódot futtathat kernel módban. A Server Core verziók kivételével gyakorlatilag az összes támogatott Windows termék megtalálható az érintett szoftverek listáján.

A figyelmeztető mellett a redmondi cég workaround-ot, ún. FixIT-et tett közzé. Hogy a javítás mikor érkezik, arról egyelőre nincs információ. A Sophos blogbejegyzése szerint nem valószínű, hogy a következő "patch kedden" (ált. a hónap második keddje) megérkezik a javítás.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kicsit déjà vu érzésem van. Mintha tavaly ugyanilyen sebezhetőséget javítottak volna ki.

--
trey @ gépház

marad még jővőre is

--
Live free, or I f'ing kill you.

Ez ide (hét elejei infó) kellett volna linkelned.

--
trey @ gépház

Ok.

(azert te is kicsit el vagy kesve :) )
___
info

(igen, 9 órával a bulletin kiadása után kitettem a róla szóló cikket)

nem erre a cikkre ertettem ;), hanem a DuQu-rol szolo elso cikkre
___
info

Láttam, hogy te pörögtél rajta már napokkal előtte, de én nem tartottam különösebben érdekesnek egy trójai felfedezését. Onnantól kezdett érdekelni, hogy kiderült, hogy egy 0day sebezhetőséget használ ki. Így már érdemesnek látszott foglalkozni vele.

off: trinity == trey?
___
info

Nem csak Gabunak lehet tobb acca a hupra.
Admin user melle illik egy nem admin user is. Ha jol emlekszem korabbrol, ez a masik.

--
Az emberek azt állítják, hogy múlik az idő, az idő viszont csak mosolyog, mert látja, hogy az emberek múlnak. - tibeti közmondás

hat, kivancsi vagyok, hogy a nepek a munkajuk hany %-at vegzik root-kent, es hanyat valami dummy account-tal? Mert - amennyit en latok - trey/(trey+trinity) ~= 99.9%

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

Egyrészt vannak esetek, amikor valamit "sima" userként is meg kell nézni (jogosultságok beállítása pl.) az oldalt. Másrészt ha idegen hálózaton vagyok, akkor nem szívesen használom az admin usert (főleg public WiFi), de valami kell, hogy követni tudjam a szálakat rendesen. Harmadrészt ha két (három, négy) gépet használok felváltva, akkor nem látszom 2(-3-4) példányban.

Negyedrészt, vannak akinek nem kell tudnia, mikor és mennyit vagyok jelen az oldalon. Lehet, hogy több ilyen accom is van.

--
trey @ gépház

Az utobbi par evben nem kovetem annyira a hup-ot; csak feltunt, a stilus, hogy valoszinuleg te vagy az.

Amugy a felsorolt ervek teljesen erthetoek.
___
info

Nagy nyomozás nem kell hozzá, azt adatlapon az "user/1" elég beszédes.

--
trey @ gépház

Másrészt ha idegen hálózaton vagyok, akkor nem szívesen használom az admin usert (főleg public WiFi),

en ilyenkor nyitok egy ssh tunnelt, es abban utaztatom a http-t a gepre.

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

A gép egy dolog. De telefonon ezért nem fogok VPN-t nyitni. Lusta vagyok plusz öt gombot megnyomni... És valahogy edge-en nem annyira élvezetes.

--
trey @ gépház

mert igy legalabb 2-en kepviselik az allaspontjat .... LOL

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

adatlapjan:

Név
user/1

szerk.: latom wo voltam

ro, rw, es ami kimaradt :)

Onnantól kezdett érdekelni, hogy kiderült, hogy egy 0day sebezhetőséget használ ki.

Ennél még érdekesebb, hogy valószínűleg valamelyik hazai tanúsítványkiadó volt az egyik célpont és nem nehéz kitalálni, hogy vajon miért... Ennek ellenére hatalmas kussolás van róla, hogy hol találták és merre bukkant még fel itthon.

Vajon mennyi időnek kell még eltelnie, hogy nálunk is kipusztuljon az a hozzáállás, hogy az incidenseket el kell hallgatni, a kényes kérdéseket feltevőket meg el kell hallgattatni?

Csak nem a MÁV Informatika?

Valoszinusithetoen az a pletyka, hogy egy magyar CA-nal bukkant fel, az valoszinusithetoen nem igaz :)
___
info

hanem? ;)

A Duqu is Made in Israel?
Már a Stuxnet is baromi nagy felelőtlenség volt, ami máshol is bajt okozhatott volna nemcsak a célpont Irán nukleáris létesítményeiben.