Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Frissítőkedd - 2014. január

2014.01.15. 00:36 | buherator | 2 komment

Microsoft

Az év első javítócsomagja a Microsoft részéről elég lazára sikerült.

MS14-001: Három hibajavítás (úgy tűnik kezd kimerülni a Google aktuális bugbányája) a Word windowsos illetve weben működő változataihoz. A sérülékenységek kódfuttatást tesznek lehetővé memóriakorrupción keresztül, amennyiben a felhasználó egy speciális dokumentumot nyit meg.

MS14-002: Az NDProxy kernel driver sérülékenysége privilégiumemelést tehet lehetővé Windows 2003-on és XP-n

MS14-003: Szintén jogosultságkiterjesztésre alkalmas probléma javítása a jó öreg win32k.sys-ben.

MS14-004: DoS-t előidéző probléma javítása a Dynamics AX-hoz.

Adobe

Az Adobe-nál a Flash Playerben két, a PDF kezelő alkalmazásokban három kódfuttatásra alkalmas problémát orvosoltak. Rossz hír, hogy úgy tűnik, az egyik, Suszter Attila által korábban bejelentett sérülékenységet mégsem sikerült tökéletesen javítani, így a CVE-2013-5332 jelű probléma továbbra is kihasználható marad

FFmpeg

Szerencsére a Google-nél nem egy fuzz-farm dolgozik, Gynvael Coldwind és j00ru közös blogposztjából pedig betekintést nyerhetünk, hogy hogyan sikerült nagyjából 2 év alatt több mint ezer (!) potenciális biztonsági hibát kigyomlálni a számos népszerű szoftverben (pl. a Google Chrome-ban és a VLC-ben is) felhasznált könyvtárból. 

Érdemes belegondolni, hogy a nyílt forrású, de komplex formátumfeldolgozást végző és igen elterjedt FFmpeg valóban megátólértetődő célpont, és gyakorlatilag teljesen buta fuzzing módszerekkel, "mindössze" 2000 magot bevetve olyan látvány tárul az ember szeme elé, mintha sörétes puskával lőttek volna a forráskódra. Ezek alapján vajon a "kevésbe együttműködő" szervezeteknél hány 0-day lehet még raktáron?

evasi0n

A sok kritikával illetett evad3rs csapatra újabb össztűz zúdul, miután @winocm felfedezte, hogy a csapat jailbreakjével ellátott telefonokon egy app egy egyszerű rendszerhívással tetszőleges helyre ugrathatja a program számlálót kernel módban, ami elég kényelmes utat teremt pl. a sandboxing kijátszására. Az evad3rs a problémát a JB 1.0.4-es változatában javította.

Cisco

A hálózati óriás múlt héten adott ki frissítést több termékéhez, mellyel egy dokumentálatlan teszt interfészt  csuktak be. A felület autentikációt nem igényelt, ellenben instant rootot adott a hozzá csatlakozó klienseknek. Külön pikáns, hogy az érintett termékek között a gyártó N-es Access Point-jai mellett ún. "Security Routerek" is szerepelnek. Félelmetes, hogy 2014-ben még ilyen csontvázak esnek ki a szekrényből...

Oracle

Ebben a hónapban az Oracle jelentkezett a legnagyobb csomaggal, a gyártó különböző termékeiben több mint 130 sérülékenységet orvosoltak. A legnagyobb foltot nem meglepő módon a Java kapta, mellyel kapcsolatban szerver alkalmazásokat is érintő, CVSS 10.0-ás sérülékenységeket is találunk, a 7-es főverzióban bevezetett biztonsági figyelmeztetők illetve beépített click-to-play lehetőség kijátszására alkalmat adó probléma viszont úgy tűnik nem került elő, így a kliensek terén nagyjából higgadtak maradhatunk (a frissítést emellett természetesen javasolt megejteni amint lehet).

Címkék: microsoft windows patch office adobe cisco word oracle jailbreak sharepoint adobe reader flash player adobe acrobat evad3rs evasi0n dynamics ax

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

axt · http://axtaxt.wordpress.com/ 2014.01.17. 09:51:02

Az ffmpeg-es részhez érdemes hozzátenni szerintem, hogy a több mint 1000ből kb. 120 volt a security bugok száma 2012-ben és 2013-ban. Ez szintén nem kevés, de azért nem olyan sokkoló mint az 1000 :).

(A fenti állítást erre alapozom:
wget www.ffmpeg.org/security.html -O - |& grep -o "CVE-201[23]-...." |sort |uniq -c |wc -l)

buherator · http://buhera.blog.hu 2014.01.17. 10:37:30

@axt: A linkelt blogposztban is azt írják, hogy becslésük szerint 10-20% lehet könnyen kihasználható, ami nagyjából egybevág az általad saccolt számmal. A CVE-kkel minden esetre vigyázni kell, mert egy azonosító több különböző bugot is lefedhet. Minden esetre kösz a kiegészítést!