Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Frissítőkedd - 2013. december

2013.12.11. 00:43 | buherator | 2 komment

Újabb PKI #fail

Az ehavi frissítőcsomag viszonylag izgalmasra sikerült, kezdjük mindjárt azzal, hogy a Google-nél észlelték, hogy a francia ANSSI hitelesítő szolgáltató alá tartozó egyik CA a keresőóriás domainjére szóló tanúsítványt állított ki. Ahogy az érintett CA közleményéből kitűnik, a tanúsítványt a francia pénzügyminisztérium számára generálták, ott pedig hálózatmonitorozó eszközökben használták. A cég közleménye szerint erre "emberi hiba" miatt kerülhetett sor, bár én inkább a "kormányzati ügyfél szava szent" filozófiát vélem felfedezni a lépés mögött. Az érintett köztes branch tanúsítványát visszavonták, a böngészőgyártók pedig úgy tűnik nem tesznek újabb lépéseket az ügyben.

Microsoft 

MS13-096: Ebben a bulletinben kerül javításra a kb. egy hónapja napvilágra került 0-day sérülékenység, ami a TIFF feldolgozó hibáján keresztül ad kapásból SYSTEM hozzáférést a támadónak. Tessék azonnal telepíteni!

MS13-097: Nagyon úgy tűnik, hogy az ehavi Internet Explorer csomagban javítják James Forshaw BlueHat Prize-t érő sandbox kitörését, ami nem csak azért remek hír, mert sikerült néhány általánosan használható kiskaput bezárni, hanem mert ezek után remélhetőleg a nyilvánosság is képbe kerülhet a 100.000 dollárt érő módszerrel.

MS13-098: Egy támadó képes a digitális aláírás elrontása nélkül megváltoztatni egy PE fájl viselkedését - a szintén csodaszépnek látszó hiba természetesen a Windows össze támogatott verzióját érinti.

MS13-099: Egy use-after-free sérülékenység javítása a MS Scripting Runtime Object Library-ban. A probléma speciális tartalmakat kiszolgáló weboldalakon keresztül távoli kódfuttatást tehet lehetővé a böngésző felhasználó jogkörével.

MS13-100: Autentikált SharePoint felhasználók spéci tartalmak feltöltésével kódot futathatnak a kiszolgálón.

MS13-101: Egy sor helyi jogosultságkiterjesztésre alkalmas probléma javítása a Windows kernelben. Érdekesség, hogy egy általában távoli kódfuttatásra is alkalmas TrueType feldoglozás problémát is sikerült orvosolni - úgy tűnik, hogy ebben az esetben a hiba kihasználása trükkösebb volt az átlagnál. A csomag a jelek szerint nem tartalmazza a célzott támadások során kihasznált NDProxy.sys sérülékenység javítását.

MS13-102: Kommentben valaki elmagyarázhatná, hogy az LRPC (Local Remote Procedure Call) mi a csoda tulajdonképpen, nekem a FAQ alapján nem sikerült rájönnöm... Minden esetre egy LRPC szerver puffer túlcsordulást triggerelhet a kliensén, jogosultságkiterjesztést eredményezve. 

MS13-103: Cross-Site Scripting probléma  javítása az ASP.NET SignalR-hez

MS13-104: Egy támadó kipakolhat egy spéci Office dokumentumot egy kiszolgálóra, amit ha valaki megtekint, a támadó megszerezheti a SharePoint-hoz illetve más Office szolgáltatásokhoz hozzáférést biztosító azonosító tokent, ezzel megszemélyesítve a felahasználót a szolgátlatások felé. A Microsoft szerint a problémát célzott támadások során aktívan kihasználják.

MS13-105: Átvezettek az Exchange-be két hibajavítást az Oracle Outside-inből, melyek DoS-t illetve távoli kódfuttatást eredményezhetnek, ha az áldozat OWA-n keresztül megtekint egy speciális fájl csatolmányt - mázli, hogy a támadó alapértelmezetten csak LocalService jogokat kap. Ezen kívül, mint kiderült, az OWA-ban nem volt engedélyezve a ViewState MAC, ami távoli kódfuttatásra adhat lehetőséget a szolgáltatás kiszolgálóján. Végül pedig javításra került egy árva XSS is.

MS13-106: Ez a frissítés orvosolja a HXDS.DLL ASLR megkerülésre lehetőséget adó problémáját, melyet már legalább egy éve kihasználnak, legutóbb pedig egy szeptemberi célzott támadási hullámban került elő. 

Adobe

Az Adobe két hibát javított a Flash Playerben, ezek közül az egyiket aktívan ki is használják. Abban a szerencsés helyzetben vagyunk, hogy a hibát bejelentő Suszter Attila részletes elemzést posztolt a sérülékenységről: Ebből kiderül, hogy a most javított probléma kísértetiesen hasonlít egy Attila által korábban felfedezett hibára, melynek lényege abban állt, hogy a Flash tartalmat beágyazó alkalmazás egy másik szálon kitehette a lejátszó szűrét a memóriájából, míg a lejátszó threadje egy üzenetablakot jelenített meg gyönyörű use-after-free szituációt produkálva az üzenetablak bezárulása után. A poén az, hogy ilyen módszerrel nagyjából mindig átvehető a program futása feletti kontroll, mikor a lejátszó üzenetablakot jelenít meg (vagy más hasonló API műveletet használ), így vagy az Adobe részéről lenne szükség egy igen alapos code review-ra, vagy (és talán ez a fájdalommentesebb megoldás) a Microsoftnak (meg az Apple-nek?) kéne implementálnia valamilyen univerzális megerősítő megoldást a hasonló bakikból eredő károk minimalizálására. 

Emellett a Shockwave lejátszó is kapott egy jelenleg kevésbé fenyegető, de hasonlóan fontos hibajavítást, szóval azt a lejátszót is frissítsétek.

D-Link

A mainstream médiában is lehetett olvasni arról a D-Link hátsó ajtóról, amit a cég múlt hónap végén nagy kegyesen eltávolított a hivatalos firmware legfrissebb kiadásából. Aki lemaradt volna: megfelelő User-Agent beállításával jelszó nélkül hozzá lehetett férni az érintett eszközök menedzsment felületéhez - valamiért erről a sztoriról mindig az Internet Census 2012 ugrik be...

Drupal

Zorg, a Rettenetes hívta fel a figyelmem, hogy - feltehetően az elmúlt idők témába vágó kutatásainak hatására - a Drupalban lecserélték az mt_rand() alapú véletlengenerátorokat, melyekkel többek között a CSRF tokeneket illetve más biztonságilag kritikus funkciókat is etettek. Az új változat ezen kívül több más, kisebb nagyobb sérülékenység javítást is tartalmaz, a frissítés tehát erősen indokoltnak látszik.

VMware

A VMware javította a Player és Workstation termékek újabb főverzióiban a vmware-mount privilégiumemelésre alkalmas problémáját, melyet már többen felfedeztek. Tavis Ormandy leírását itt olvashatjátok, de úgy rémlik, hogy voltak más bugok is, de ezeket perpill nem találom :(

Friss: Firefox

A Firefox 26-ban végre bevezették az alapételmezett click-to-play-t a Java plugin-re.

A fentieken tól van új Apache 2.4 meg PHP, a vonatkozó kiadási megjegyzésekben biztonsági infót nem találtam,  a Tor Browser Bundle pedig új Firefox-t kapott.

Címkék: microsoft windows office adobe vmware drupal shockwave sharepoint flash player bluehat prize őatch d-link

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2013.12.11. 14:40:00

A MS13-098 külön tanulságos sztori. Az SRD alapján (blogs.technet.com/b/srd/archive/2013/12/10/ms13-098-update-to-enhance-the-security-of-authenticode.aspx) arról van szó (nagy vonalakban írok, így elnézést a "pongyola" fogalmazásért), hogy ha az eredeti végrehajtható állomány után írnak adatot, akkor az nem védett az authenticode-al, de a digitális aláírás érvényes marad. Persze alapértelmezett esetben a kód nem futna arra a részre, tehát nincs gond.

Itt jön az "okos" fejlesztő a képbe, aki szeretné hogy csak egyszer kelljen aláírni egy exe-t, de több különböző kóddal is működjön (rugalmas fejlesztési módszertan szerint). Mi lenne ha az authenticode által védett rész mögé tennénk egy URL-t, URL-ről letöltenénk a végrehajtható fájlt, és azt indítaná az eredeti kód. 10 perc fejlesztés, 5 perc tesztelés, működik, nagy az öröm, meg a boldogság. What could possible go wrong ...

buherator · http://buhera.blog.hu 2013.12.11. 14:42:37

@|Z|: Köszi a kiegészítést, a napokban haldoklik a feedolvasóm, így sajnos ez az SRD poszt is kiesett a látómezőmből :(