Microsoft Az év első javítócsomagja a Microsoft részéről elég lazára sikerült. MS14-001: Három hibajavítás (úgy tűnik kezd kimerülni a Google aktuális bugbányája) a Word windowsos illetve weben működő változataihoz. A sérülékenységek kódfuttatást tesznek lehetővé…

A héten megjelent az Oracle júniusra időzített Java frissítő csomagja. A 40 javított sérülékenység közül 17 távolról, autentikáció nélkül kihasználható. 34 javítás kizárólag kliens oldali alkalmazásokat érint, 4 darab szerverekre és kliensekre is veszélyes. Egy…

Oracle A tegnapi nap legnagyobb száma az Oracle első negyedéves CPU-ja, valamint az ezzel együtt megjelentetett Java biztonsági frissítőcsomag volt. A figyelmeztetők szokásosan szűkszavúak, azt azonban érdemes megjegyezni, hogy az Oracle Database Workload Managert illetve a JRockit…

A bejegyzés írásának pillanataiban ér véget az idei vancouveri CanSecWest konferencia Pwn2Own játéka, melynek keretében a HP és a Google több mint fél millió dollárt ajánlott fel népszerű webes technológiák biztonsági hiányosságait kihasználó kutatóknak.  Bár a…

Az Oracle újabb kritikus Java frissítést adott ki - egy hónapon belül a harmadikat - miután újabb, a Java futtatókörnyezet 6-os és 7-es verzióinak hibáját kihasználó támadásokról érkeztek hírek. Az első jelentések a támadásokról február 1-én érkeztek a gyártóhoz, így…

Java Az Oracle tegnap kiadta a február 1-én kimaradt Java frissítéseket. A javított problémák első sorban a kliens oldali alkalmazásokat érintik, szerver oldalon a legújabb, CBC módú blokktitkosítókat használó TLS kapcsolatokat érintő "Lucky Thirteen" támadást küszöbölték…

Az Oracle az eredetileg február 19-re időzített rendszeres Java frissítést előrehozta február 1-re, hogy orvosolja a legutóbbi, távoli kódfuttatásra alkalmas problémát. A gyártónak bőségesen akadt feladata: a SecurityExplorations szerint a Java 7 több, az utóbbi időben…

A héten a rendkívüli Java és Internet Explorer frissítések mellet megérkezett több gyártó rendszeres csomagja is: Az Adobe a ClodFusion-t javította (ennek a terméknek még nincs szinkronizálva a frissítési ciklus a Microsoft-éval), a kiküszöbölt sérülékenységek az…

A KrebsOnSecurity szerint már el is kelt a BlackHole készítő által piacra dobott, Java7u11-t is lenyomó 0-day exploit. Az árusok az első két szerencsés vásárlónak 5000-5000 dollárért adták tovább a széles tömegek számítógépének lenyúlását lehetővé tevő kódot. Ha jól…

A mai napon két, aktívan kihasznált sérülékenységre is javítást kaptunk.  Az első a híres-neves CVE-2013-0422 Java 7 sérülékenységre (és egy másik, kevésbé égető problémára is) ad megoldást az update 11 formájában. A konkrét hiba, de talán általában a Java…

Elég sok érdekes információ jelent meg az aktuális, javítatlan Java sérülékenységgel kapcsolatban - ezek egy részéről az előző poszt alatt a kedves Olvasók is megemlékeztek (köszi!) ebben a bejegyzésben igyekszem összegyűjteni a legfontosabb tudnivalókat és hivatkozásokat. A…

MS12-078: Újabb TrueType illetve OpenType betűkészletek kezelését érintő problémák javítása. A fontkezelést megvalósító kernel driveren keresztül távoli kódfuttatás érhető el rendszer szintű jogkörrel, ha a felhasználó megnyit egy speciális betűkészlettel készült…

Az Adam Gowdiak nevével fémjelzett Security Explorations nyilvánosságra hozta az ún. SE-2012-01 projekt eredményeit. A projekt célja az volt, hogy képet adjon a Java futtatókörnyezetek biztonságáról, és rámutasson a biztonsági architektúrát fenyegető hibaosztályokra. A most…

A mostani negyedéves Oracle frissítőcsomag - bár szokásosan szűkszavú - tartalmaz néhány izgalmat:  Először is, a cég összesen 109 hibát javít különböző Oracle termékekben, ezen kívül pedig 30 Java biztonsági frissítés is érkezett. A cég a továbbiakban a Java…

MS12-064: Az Office Windows-os változatait illetve 2010 SP1-es SharePoint Servert érintő két sérülékenység javítása, melyek Word illetve RTF dokumentumok megnyitásakor vezethetnek kódfuttatáshoz. MS12-065: Szintén a Word fájlok feldolgozását érintő probléma javítása a Works…

Esteban Fayó olyan módszert mutatott be a múlt heti Ekoparty konferencián, melynek alkalmazásával anélkül pörgethetők ki az Oracle adatbázisok jelszavai, hogy akár egyetlen sikertelen belépési kísérlet is naplózásra kerülne a szerveren, ráadásul a támadás offline (vagyis…

Olyan anyagot kaptam Bob Putton-tól, hogy a tíz ujjamat megnyaltam utána: részletes elemzés a David Litchfield által az idei BlackHat-en bemutatott, majd nem rég az Oracle által javított jogosultságkiterjesztésre alkalmas sérülékenységről. Bár mostanában hangos vita folyik a még…

Hekkcamp A héten lezajlott az ország legjelentősebb IT-biztonsági összejövetele :) a főbb momentumok Twitteren kerültek megörökítésre. BackTrack 5 R3 Megjelent mindnyájunk kedvenc penteszt disztribuciójának harmadik karbantartási kiadása. A BackTrack 5 R3 a számos hibajavítás…

Kihírdették az IT-biztonsági szakma Oscar- és Citrom- díjaként számon tartott Pwnie Awards győzteseit: A legjobb kliens oldali hibáért járó díjat megosztva kapta Pinkie Pie és Sergey Glazunov az idei Pwniumon a Google Chrome böngészővel szemben nyújtott elképesztő…

OS X in-App Purchase Nem rég beszéltünk az Alexey Borodin által az iOS alkalmazásokon belüli ingyenes vásárlás lehetővé tevő módszeréről. Ahogy az várható volt kiderült, hogy a módszer OS X-en is használható.  Pwnie Awards Bejelentették az idei Pwnie Awards jelölteket. A…

Mesterhármas A héten megpukkantották ((c) Breach :) a LinkedIn üzleti közösségi oldal, az eHarmony társkereső és a Last.fm közösségi rádió felhasználói adatbázisainak jelentékeny részét, összesen mintegy 17 millió jelszó hash-t téve közkinccsé. A helyzet még szomorúbb,…

Jobb később, mint soha, itt vannak az előző hét fontosabb hírei:BuktákKét hazai rajtaütés is történt a múlt héten: Csongrádban 83 millió forintos kárt okozó számítógépes bűntények miatt fogtak el három férfit, a IX. kerületben pedig "egy nagy látogatottságú…

Az Oracle legutóbbi CPU-ja kapcsán számoltam be Joxean Koret TNS mérgezéses felfedezéséről, azt állítva, hogy a problémát a negyedéves javítás megoldotta. Nos, úgy tűnik ez nem igaz, Koret mai levelében ugyanis kifejti, hogy az Oracle a hibát nem javította, de azért ügy4esen…

Ahogy arról a múlt heti összefoglalóban is írtam, az Oracle kiadta szokásos negyedéves biztonsági frissítőcsomagját. Sajnos a gyártó még mindig csekély mennyiségű információt közöl a javított sérülékenységekről, de a Full-Disclosure listára befutott egy üzenet, melyben…

Phrack #68 Megjelent mindnyájunk kedvenc underground e-zine-jének legújabb kiadása, a Phrack #68. A tartalomból: FX profil, a jemalloc() exploitálás elmélete és gyakorlata, az MS11-004 kihasználása, Domain Controller post-exploitation, és sok minden más. Jó…