Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Microsoft egyetlen biztonsági frissítéssel kezdi az új évet

2009.01.10. 17:41 | N1gg@ | 3 komment

<buherator> Harsonaszó, dobpergés: Az alábbiakban reménybeli szerkesztőtársam, N1gg@ első szárnypróbálgatását olvashatjátok. Fogadjátok szeretettel, és adjatok sok visszajelzést, hogy minél több és jobb poszttal szolgálhassunk a továbbiakban!

Miután az elmúlt hónapban kijött egy kritikus biztonsági javítással az Internet Explorer-hez, a Microsoft tervezi egy újabb javítás kiadását a jövő hét folyamán.

A frissítés mind a szerver mind az asztali verzióhoz készül, ami megakadályozza, hogy a támadók jogosulatlanul szoftvereket telepítsenek az áldozat gépére.

A Microsoft azt nem árulta el, milyen hibákat foltoz, de van miből válogatniuk:

Az elmúlt hónapban a cég figyelmeztetett a WordPad Text Converter és az SQL Server adatbázis szoftverben lévő hibákra. A kutató, aki felfedte az SQL hibát, azt állította, hogy a Microsoft április óta tudott a kérdésről.

Egy másik kutató állítása szerint, a Microsoft Windows Media Player is tartalmaz bugot, de a Microsoft vitatja ennek létezését.

A nyilatkozatában Andrew Storms a Security Operations elnöke szinte hőstettként írja le, hogy a Microsoft megakadályozza, hogy a hackerek jogosulatlan kiváltságokat szerezzenek a számítógépeken.

Illetve elmondta még, hogy miután elkezdték kihasználni ezt a hibát és jelszó-lopó szoftvereket telepítgettek az áldozatok gépein; egy röpke hónap alatt javításra került.

Le a kalappal!

Mindazonáltal, a kutató szerint, aki megtalálta a hibát, nem fog elkészülni jövő hétre a patch, mert előbb osztályozzák és a helyi jogosultság kiterjesztést jellemzően nem tekintik kritikusnak - mondta Cesar Cerrudo, Argeniss biztonsági kutatócég vezérigazgatója.

Szerintem ez igen érdekes felfogás, részemről bármilyen hiba kritikusnak, tehát azonnal javításra szorulónak  minősülne, mindegy, hogy miről van szó.

Címkék: microsoft patch sql server

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

keeroy · http://music.blog.hu 2009.01.11. 01:53:59

Udv, kedves nigga, koszonjuk a frissitest.

Krisoft · http://krisoft.blog.hu 2009.01.11. 18:57:00

"... részemről bármilyen hiba kritikusnak, tehát azonnal javításra szorulónak minősülne, mindegy, hogy miről van szó."

Nem akarom védeni őket, de véges erőforrásokkal gazdálkodva, szerintem is logikus, hogy a remote kihasználható bugokat előrébb veszik. És itt mintha erről lenne szó.

N1gg@ 2009.01.11. 21:07:57

"Véges erőforrás"
Amire áprilisban fény derül, azt miért szeptemberben kell javítani?
Egyébként igazad van, de az az előrébb vétel szerintem menne gyorsabban is.