Kedves olvasók: kapcsoljátok ki a számítógépeiteket, és menjetek ki szaladgálni a friss levegőre, az utóbbi napokban váratlan mennyiségű 0-day érkezett.

Ugyebár itt van a jövő kedden kijavuló Internet Explorer 0-day - erre az exploit mellett már elérhető egy FixIt is. 

Majdnem megfeledkeztem ezen kívül a kiváló Lotus Notesról, ami egészen a legutóbbi verziók megjelenéséig automatikusan lefuttatta az e-mailekbe ágyazott Java appleteket, ráadásul az alkalmazás a futtatókörnyezet elavult (sérülékeny) verziójával települt alapértelmezetten.

Szerver oldalon egy stack korrupcióhoz vezető integer túlcsordulást javítottak az Nginx-ben. A probléma a chunked HTTP kérések feldolgozását érinti, exploitot egyelőre nem láttam, de a patch alapján nem tűnik túlzottan trükkösnek a dolog (bár a stack protector bekavarhat). A probléma a kiszolgáló 1.3.9-1.4.0 változatait érinti, a javítás az 1.4.1-ben és az 1.5.0-ban érhetők el.

Kevésbé jó a helyzet a Cold Fusion háza táján: a nem rég megjelent Hack The Planet e-zine 5. kiadásában a kiszolgáló 9-10 verzióit érintő 0-day exploitot tettek közzé, az Adobe egyelőre egy figyelmeztetővel reagált a problémára. Úgy tűnik, hogy ezt az exploitot használták a Linode illetve a NVD megtörésére is - a HTP-nek a jelek szerint teljes hozzáférése volt az Nmap.org-hoz, és még egy halom más "hivatalos forráshoz" is a Linode-on keresztül...