Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Frissített PDF olvasók

2009.03.11. 08:36 | buherator | Szólj hozzá!

Végre valahára kiadta a javítást Adobe a Reader és Acrobat alkalmazásait érintő JBIG2 sebezhetőségre. Ezt a problémát már több mint két hete kihasználják a rosszindulatú támadók, és eddig csak így-úgy összetákolt, nem hivatalos megoldásokban bízhattunk. A dolog szépséghibája, hogy csak a kiadott folt csak a 9-es szoftververzókat javítja.

Frissült a Foxit Reader is - igaz egy picit régebben. Ebben szintén kódfuttatásra alkalmas sebezhetőséget javítottak, de ez nem a JBIG2 tömörítéssel, hanem az extrém hosszú fájlnevek kezelésével volt kapcsolatos. A JBIG2 tömörítési táblák helytelen kezelése ebben az alkalmazásban "csupán" illetéktelen memóriaolvasásra illetve korlátozott parancsfuttatásra volt alkalmas. Egy harmadik hiba helyi fájlok engedély nélküli futtatását és távoli URL-ek megnyitását tette lehetővé.

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.