Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


Okos telefon - Buta kriptó

2013.10.18. 09:52 | buherator | 5 komment

A lehallgatási botrány árnyékában kisebb pánikot okozott, mikor kiderült, hogy az Android fejlesztőknek szánt API-ja a 2.3-as verziótól kezdve a hírhetden gyenge RC4-MD5 algoritmus-kombinációt részesíti előnyben SSL kapcsolatok kiépítésekor. Ez azt jelenti, hogy az API-t naívan…

Címkék: google apple java android kriptográfia icloud imessage hitb

Légből kapott bizonytalanság

2013.09.17. 23:33 | buherator | Szólj hozzá!

Pár napja kérdezte egy kedves ismerősöm, hogy mégis mennyire kell komolyan venni ezt az NSA-s telefonfeltörős parát, én pedig természetesen próbáltam csillapítani a kedélyeket, mondván, nem eszik olyan forrón a kását. Aztán nem sokkal később végre volt alkalmam megnézni a…

Címkék: java sms nsa gsm sim ota security research labs

Java frissítések

2013.06.21. 11:28 | buherator | Szólj hozzá!

A héten megjelent az Oracle júniusra időzített Java frissítő csomagja. A 40 javított sérülékenység közül 17 távolról, autentikáció nélkül kihasználható. 34 javítás kizárólag kliens oldali alkalmazásokat érint, 4 darab szerverekre és kliensekre is veszélyes. Egy…

Címkék: java patch internet explorer oracle fixit

Frissítőkedd - 2013. Június

2013.06.12. 00:08 | buherator | Szólj hozzá!

Microsoft MS13-047: Az ehavi Internet Explorer frissítés 9 hibajavítást tartalmaz a böngésző összes támogatott verziójához, a sérülékenységek szokásosan kódfuttatást tehetnek lehetővé, frissíteni muszáj. MS13-048: Kernelmemóra-tartalom olvasható userek által x86…

Címkék: microsoft windows apple flash safari java php patch adobe internet explorer apache vmware os x chrome bind struts ognl

Java Trusted Method Chaining - CVE-2013-1488

2013.05.28. 09:55 | buherator | 4 komment

James Forshaw, a Context Pwn2Own nyertes kutatója részletes leírást tett közzé a HP legutóbbi bugvadászatában kihasznált, és nem rég foltozott CVE-2013-1488 jelű hibával kapcsolatban. A probléma és a kihasználás módja amellett, hogy szépen bemutat néhány elterjedt Java exploit…

Címkék: java tutorial az olvasó ír pwn2own james forshaw cve-2013-1488 trusted method chaining

Frissítőszerda - 2013. április 17.

2013.04.18. 13:14 | buherator | 5 komment

Oracle A tegnapi nap legnagyobb száma az Oracle első negyedéves CPU-ja, valamint az ezzel együtt megjelentetett Java biztonsági frissítőcsomag volt. A figyelmeztetők szokásosan szűkszavúak, azt azonban érdemes megjegyezni, hogy az Oracle Database Workload Managert illetve a JRockit…

Címkék: java patch cisco oracle google chrome

Pwn2Own - CanSecWest 2013

2013.03.07. 23:31 | buherator | Szólj hozzá!

A bejegyzés írásának pillanataiban ér véget az idei vancouveri CanSecWest konferencia Pwn2Own játéka, melynek keretében a HP és a Google több mint fél millió dollárt ajánlott fel népszerű webes technológiák biztonsági hiányosságait kihasználó kutatóknak.  Bár a…

Címkék: microsoft windows firefox flash java internet explorer mozilla oracle sandbox google chrome nils pwn2own cansecwest adobe reader geohot vupen mwr labs ben murphy jduck james forshaw jon butler

Java, Java, Java, Java, Java ...

2013.03.05. 09:42 | buherator | Szólj hozzá!

Az Oracle újabb kritikus Java frissítést adott ki - egy hónapon belül a harmadikat - miután újabb, a Java futtatókörnyezet 6-os és 7-es verzióinak hibáját kihasználó támadásokról érkeztek hírek. Az első jelentések a támadásokról február 1-én érkeztek a gyártóhoz, így…

Címkék: java patch oracle

Java frissítések, Reader és egyebek

2013.02.20. 09:47 | buherator | 3 komment

Java Az Oracle tegnap kiadta a február 1-én kimaradt Java frissítéseket. A javított problémák első sorban a kliens oldali alkalmazásokat érintik, szerver oldalon a legújabb, CBC módú blokktitkosítókat használó TLS kapcsolatokat érintő "Lucky Thirteen" támadást küszöbölték…

Címkék: firefox apple java patch facebook incidens pdf oracle 0day adobe reader

Kritikus Flash Player frissítések, és...

2013.02.08. 18:59 | buherator | 3 komment

... és egy csipet Java a változatosság kedvéért Flash Az Adobe tegnap minden platformon frissítette a Flash Playert. A két javított sérülékenységet aktívan kihasználják célzott és kiterjedt támadások során Windows és Mac felhasználókkal szemben is! Érdekes kérdéseket vet…

Címkék: flash java patch gondolat

Még mindig Java... (nyugi, nincs új bug)

2013.02.06. 22:00 | buherator | Szólj hozzá!

(legalábbis nyilvánosan) Ez csak egy gyors poszt lesz a legutóbbi Java frissítés utáni fejleményekről, akit mélyebben érdekel a téma, az klikkelgessen (nekem kicsit hosszú volt ez a nap a Java bugok elemzéséhez): Az elsőszámú Java bugvadásszá és kommentátorrá előlépett Adam…

Címkék: java tyranid immunity security explorations

Előrehozott Java frissítés

2013.02.02. 14:46 | buherator | Szólj hozzá!

Az Oracle az eredetileg február 19-re időzített rendszeres Java frissítést előrehozta február 1-re, hogy orvosolja a legutóbbi, távoli kódfuttatásra alkalmas problémát. A gyártónak bőségesen akadt feladata: a SecurityExplorations szerint a Java 7 több, az utóbbi időben…

Címkék: java patch oracle

Oracle, Adobe és Cisco frissítések - 2013. január

2013.01.20. 20:26 | buherator | Szólj hozzá!

A héten a rendkívüli Java és Internet Explorer frissítések mellet megérkezett több gyártó rendszeres csomagja is: Az Adobe a ClodFusion-t javította (ennek a terméknek még nincs szinkronizálva a frissítési ciklus a Microsoft-éval), a kiküszöbölt sérülékenységek az…

Címkék: java patch linksys adobe cisco oracle coldfusion

Új hét, új Java 0-day

2013.01.16. 15:33 | buherator | 5 komment

A KrebsOnSecurity szerint már el is kelt a BlackHole készítő által piacra dobott, Java7u11-t is lenyomó 0-day exploit. Az árusok az első két szerencsés vásárlónak 5000-5000 dollárért adták tovább a széles tömegek számítógépének lenyúlását lehetővé tevő kódot. Ha jól…

Címkék: java oracle 0day blackhole

Frissítőhétfő - Oracle Java és Microsoft Internet Explorer

2013.01.14. 20:45 | buherator | Szólj hozzá!

A mai napon két, aktívan kihasznált sérülékenységre is javítást kaptunk.  Az első a híres-neves CVE-2013-0422 Java 7 sérülékenységre (és egy másik, kevésbé égető problémára is) ad megoldást az update 11 formájában. A konkrét hiba, de talán általában a Java…

Címkék: microsoft java patch internet explorer oracle

További infók a Java sérülékenységről - Rekurzív Reflection

2013.01.13. 19:09 | buherator | 2 komment

Elég sok érdekes információ jelent meg az aktuális, javítatlan Java sérülékenységgel kapcsolatban - ezek egy részéről az előző poszt alatt a kedves Olvasók is megemlékeztek (köszi!) ebben a bejegyzésben igyekszem összegyűjteni a legfontosabb tudnivalókat és hivatkozásokat. A…

Címkék: firefox safari java bug oracle immunity security explorations

Fekete Lyuk - Feketepiac

2013.01.10. 14:54 | buherator | 10 komment

Nem rég a BlackHole exploit kit fejlesztői új programot hírdettek, melynek keretében összesen 100.000 dollárt ajánlottak fel eddig ismeretlen böngésző vagy böngésző plug-in sérülékenységekért, exploitokért, vagy meglévő exploitok továbbfejlesztéséért (pl. új…

Címkék: java pletyka 0day blackhole

Java 7 biztonsági újdonságok

2012.12.28. 20:42 | buherator | 1 komment

Nem rég megjelent a JDK 7u10, ami hasznos biztonsági beállítási lehetőségekkel gazdagította a Java vezérlőpultját. A felhasználók ezen túl egy négy fokozatú biztonsági szint beállításával globálisan meghatározhatják, hogy a virtuális gép milyen appleteket indítson el…

Címkék: java

SE-2012-01

2012.11.25. 15:20 | buherator | Szólj hozzá!

Az Adam Gowdiak nevével fémjelzett Security Explorations nyilvánosságra hozta az ún. SE-2012-01 projekt eredményeit. A projekt célja az volt, hogy képet adjon a Java futtatókörnyezetek biztonságáról, és rámutasson a biztonsági architektúrát fenyegető hibaosztályokra. A most…

Címkék: apple java patch ibm oracle immunity se-2012-01 security explorations adam gowdiak

Az SSL nehéz

2012.10.28. 10:08 | buherator | 4 komment

A Stanfordi és Texasi egyetemek kutatói közzétettek egy érdekes tanulmányt a különböző SSL/TLS-t alkalmazó könyvtárak, middleware-ek és SDK-k minőségéről. Ezeket a komponenseket számos érzékeny adatot kezelő alkalmazásban megtaláljuk, találkozhatunk velük például banki…

Címkék: ssl java php programozás amazon apache aim tls oscommerce ubercart curl andorid zencart prestashop jsse

Oracle biztonsági frissítések - 2012 október

2012.10.19. 13:45 | buherator | 2 komment

A mostani negyedéves Oracle frissítőcsomag - bár szokásosan szűkszavú - tartalmaz néhány izgalmat:  Először is, a cég összesen 109 hibát javít különböző Oracle termékekben, ezen kívül pedig 30 Java biztonsági frissítés is érkezett. A cég a továbbiakban a Java…

Címkék: java patch oracle

Hírek - 2012/39. hét

2012.09.30. 20:00 | buherator | 1 komment

IEEE: 100.000 jelszó Radu Drăgușin az IEEE egyik nyilvános FTP szerverén talált 100GB HTTP logot, melyből majdnem 100.000 ieee.org felhasználó neve és jelszava volt kiolvasható. A szakértő szerint a naplók legalább egy hónapja elérhetőek voltak mielőtt felfedezte őket. Az IEEE…

Címkék: windows java jog cisco apt phpmyadmin backdoor mirage google chrome ieee sourceforge breach scada telvent

Apple júzerek figyeljetek

2012.09.05. 15:09 | detritus | 1 komment

Az "FBI Regional Cyber Action Team" "Supervisor Special Agent" titulusú tagjának desktopjáról lopott el az AntiSec egy (az eset történtekor) majdnem fél éves Java exploittal egy 12 millió rekordot tartalmazó, Apple felhasználókkal teli .csv fájlt. Ez így egyben elég szürreálisan…

Címkék: apple java fbi antisec breach udid

Obfuszkáljunk Java exploitot!

2012.09.02. 22:51 | buherator | 27 komment

A Java 7 0day-el kapcsolatos infókat tárgyaló posztban rendes kis flame alakult ki azzal kapcsolatban, hogy tulajdonképpen mennyit is ér egy antivítus szoftver egy nulladik napi sérülékenységgel szemben. Ma este volt egy kis időm foglalkozni a dologgal, és csináltam pár nagyon…

Címkék: java antivírus

Kapcsold ki a Java-t!

2012.09.02. 15:04 | buherator | 3 komment

Alig 24 órával a Java7u6-ot, illetve korábbi OpenJDK verziókat is érintő Java biztonsági hiba foltozása után a hibát felfedező, és az Oracle-hez azt még áprilisban bejelentő Adam Gowdiak azt közölte, hogy a javított Java 7u7 még tartalmaz kihasználható réseket. Ezeket a…

Címkék: java 0day