Microsoft upgraded the CVE-2022-37958 vuln to “critical” after IBM Security X-Force Red security researcher Valentina Palmiotti discovered the vulnerability could allow attackers to remotely execute code.https://t.co/gCbVdyytXI <-- research by @chompie1337
— Ryan Naraine (@ryanaraine) December 14, 2022
Microsoft casually upgrading a “almost nothing-burger” vulnerability to a “critical house-is-burning-down” rating today with some very gentle wording (CVE-2022-37958): pic.twitter.com/kgVyJMOCgB
— Chris Vickery (@VickerySec) December 13, 2022
Linkek:
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Érintett rendszerek:
| Windows Server 2012 R2 (Server Core installation) |
| Windows Server 2012 R2 (Server Core installation) |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows Server 2012 (Server Core installation) |
| Windows Server 2012 (Server Core installation) |
| Windows Server 2012 |
| Windows Server 2012 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| Windows RT 8.1 |
| Windows 8.1 for x64-based systems |
| Windows 8.1 for x64-based systems |
| Windows 8.1 for 32-bit systems |
| Windows 8.1 for 32-bit systems |
| Windows 7 for x64-based Systems Service Pack 1 |
| Windows 7 for x64-based Systems Service Pack 1 |
| Windows 7 for 32-bit Systems Service Pack 1 |
| Windows 7 for 32-bit Systems Service Pack 1 |
| Windows Server 2016 (Server Core installation) |
| Windows Server 2016 |
| Windows 10 Version 1607 for x64-based Systems |
| Windows 10 Version 1607 for 32-bit Systems |
| Windows 10 for x64-based Systems |
| Windows 10 for 32-bit Systems |
| Windows 10 Version 21H2 for x64-based Systems |
| Windows 10 Version 21H2 for ARM64-based Systems |
| Windows 10 Version 21H2 for 32-bit Systems |
| Windows 11 for ARM64-based Systems |
| Windows 11 for x64-based Systems |
| Windows 10 Version 20H2 for ARM64-based Systems |
| Windows 10 Version 20H2 for 32-bit Systems |
| Windows 10 Version 20H2 for x64-based Systems |
| Windows Server 2022 Datacenter: Azure Edition |
| Windows Server 2022 (Server Core installation) |
| Windows Server 2022 |
| Windows 10 Version 21H1 for 32-bit Systems |
| Windows 10 Version 21H1 for ARM64-based Systems |
| Windows 10 Version 21H1 for x64-based Systems |
| Windows Server 2019 (Server Core installation) |
| Windows Server 2019 |
| Windows 10 Version 1809 for ARM64-based Systems |
| Windows 10 Version 1809 for x64-based Systems |
| Windows 10 Version 1809 for 32-bit Systems |
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Tehát a 1607-ben szar volt, a 1809-ben is szar volt, de közben, valahogy, valami csoda folytán a 1703 nem volt bugos. Hm. Érdekesen tolják ezek a redmondiak...
- A hozzászóláshoz be kell jelentkezni
Windows 11-ből mind szar Windows 10 22H2 nem szar. :)
- A hozzászóláshoz be kell jelentkezni
Ma sem lennék Imo.
- A hozzászóláshoz be kell jelentkezni
Most mi a pláne abban ha valaki el tudja indítani a calc.exe-t? ;)
- A hozzászóláshoz be kell jelentkezni
Ez jobb volt: "Gondolom te sem vagy biztonságtechnikai szakember, akinek az a munkája, hogy 0day exploitokat kerget."
A strange game. The only winning move is not to play. How about a nice game of chess?
- A hozzászóláshoz be kell jelentkezni
Patchelj most - vagy inkább még szeptember végén.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37958
- A hozzászóláshoz be kell jelentkezni
Microsoft casually upgrading a “almost nothing-burger” vulnerability to a “critical house-is-burning-down” rating today with some very gentle wording
(Szeptemberben a Microsoft még azt állította, hogy ez egy lófasz, most meg azt, hogy kiba kritikus ...)
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Szarul hangzik. Nekem csak egyetlen Win10 telepítésem van, az asztali gépen, amit nem járattam meg már március eleje óta. Nincs időm rajta játszani, teljesen káosz nekem ez az év. Szerintem ez a rendszer érintett, mivel emlékeim szerint csak 21H2 van rajta.
Mi most akkor a teendő? Engedjem, hogy az update leszedje az összes frissítést, reboot, aztán védett lesz a telepítés?
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
- A hozzászóláshoz be kell jelentkezni
Szarul hangzik. Nekem csak egyetlen Win10 telepítésem van
Neeem, ez nekünk hangzik szarul, akiknek több ezer ilyen telepítése van :D
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Dehogy hangzik szarul. Biztos megélhetést ad.
- A hozzászóláshoz be kell jelentkezni
Amúgy ki a picsa ez a "csumpika"? Vagy ennyire degenerált lett a világ, hogy egy csevegő plattformon valaki fingik egy szivárványost és a világ összes rendszergazdija ettől rántja zabszemnél kissebbre a segglukát? Vagy néhányan követeik a hivatalos hírfolyamot és frissítenek rendesen vagy a cég lehetőségei szerint?
- A hozzászóláshoz be kell jelentkezni
https://www.linkedin.com/in/valentina-palmiotti-67012273
Fél perc google.
- A hozzászóláshoz be kell jelentkezni
Az IBM X-Force Red csapatában van, és ő jött rá, hogy egy korábban jelentéktelennek tűnő hiba nagyon is jelentős. (ellentétben a hivatalos hírfolyammal, ami szerint ez csak egy kevésbé fontos javítás volt)
In September 2022, Microsoft issued a patch for a vulnerability found in the common Windows protocol SPNEGO NEGOEX. At the time, CVE-2022-37958 had a CVSS score of 3.1 and was not considered to be critical. However, Valentina Palmiotti, a security researcher from IBM’s X-Force Red team, recently discovered that the vulnerability could allow an attacker to remotely execute code, impacting a wide range of Windows systems.
De szerintem mindegy is, hogy kicsoda. Ha van egy videója arról, hogy hogy tud megtörni egy rendszert, leírja a CVE azonosítót, amivel meg lehet találni a gyártó tájékoztatását is a sebezhetőségről, és még egy egész korrekt összefoglalót is belinkelt a tweetbe, akkor úgy is hasznos lenne az infó, ha nem ő jött volna rá, hogy a gyártó eredetileg tévedett a hiba súlyosságával kapcsolatban.
Nagy Péter
- A hozzászóláshoz be kell jelentkezni
Na ez egy korrekt magyarázat. Ettől függetlenül miért kell az ilyen kvalitású embereknek idióta nickek mőgé bújva, másod-harmad vonalbeli közösségi csatornákon kimondani a valós hibákat?
- A hozzászóláshoz be kell jelentkezni
másod-harmad vonalbeli közösségi csatornákon
A Twitter kb. az IT sec egyik fő csatornájának számít.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
akkor senkiháziak kezében a popszakma!
- A hozzászóláshoz be kell jelentkezni
Ez a frissítés is csúszik vagy 2 évet mire cégen belül mindenhová lecsorog. Mert kéne ember ki rányom arra a rohadt deploy gombra :D
- Indítsd újra a gépet! - Az egészet? - Nem, a felét...
- A hozzászóláshoz be kell jelentkezni
Nekem meg kellene egy tonna ESU MAK key az ezer éves, "frissíteni nem lehet!" Win2k8R2 szerverekhez :(
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
En ilyenkor orulok, hogy linux rendszergazdi vagyok. Varjunk csak. Nyar ota a Windowsokert is felelek. O, hogy b4ssza meg!
- A hozzászóláshoz be kell jelentkezni