Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Microsoft frissítőkedd - 2009. Június

2009.06.09. 20:51 | buherator | Szólj hozzá!

Redmond ehónapban 10 bulletint adott ki, melyek nagy része távoli kódfuttatást, illetve helyi jogosultságkiterjesztést eredményező hibákat orvosol:

MS09-018: Speciális LDAP ill. LDAPS kérések hatására érvénytelen memóriafelszabadítás  hajtódik végre Windows 2000 rendszereken, ami távoli kódfuttatásra ad lehetőséget. Egy másik probléma memóriaszivárgást eredményez Windows 2000,2003 és XP rendszereken.

  • MS09-019: Összesen 7 darab, az Internet Explorer összes támogatott verzióját érintő sebezhetőség javítása. A problémák a desktop Windows verziók esetében kaptak kritikus besorolást, mivel ezek esetében lehetséges a problémák kihasználása alapértelmezett konfiguráció esetén. A csomag tartalmazza a Nils által a Pwn2Own-on kihasznált hiba javítását is.
  • MS09-020: Jogosulstágkiterjesztésre alkalmat adó problémák javítása az IIS 5-ös és 6-os verzióiban. Ezek között szerepel a sokat emlegetett WebDAV probléma javítása is.
  • MS09-021: A Microsoft Excel 2000,XP,2003, és 2007-es változatait érintő problémák orvoslata. A javított sebezhetőségek illetéktelen kódfuttatásra adnak lehetőséget speciális Excel fájlokon keresztül.
  • MS09-022: A Windows 2000, 2003, XP, Vista, és 2008 nyomtatási sorának kezelésében található sebezhetőségek javítása, amelyek Windows 2000 esetében távoli kódfuttatást, a többi operációs rendszeren pedig jogosultságkiterjesztést eredményezhetnek.
  • MS09-023: Információszivárgást okozó probléma a Windows XP és 2003 keresőmoduljában - amely egyébként nem része az alapértelmezett konfigurációnak, szóval erre nem is pazarolnék több szót, olvassátok inkább el az SRD cikkét.
  • MS09-024: Speciális Works fájlok segítségével a dokumentumot megnyitó felhasználó nevében történő kódfuttatás vihető véghez a Word és a Works több verzióján keresztül.
  • MS09-025: Négy darab helyi jogosultságkiterjesztésre alkalmas probléma a Windows 2000, XP, 2003, Vista és 2008 kernelében.
  • MS09-026: Távolról kihasználható probléma a Windows távoli eljáráshívásokat (RPC) kezelő API-jában. Ezt alapértelmezetten ugyan semmilyen alkalmazás nem használja, de egyes harmadik féltől származó programok futtatása esetén a probléma kihasználhatóvá válik. A Windows RPC megvalósítására támaszkodó fejlesztők itt találnak útmutatást arról, hogy az általuk fejlesztett szoftvereket érinti-e a probléma.
  • MS09-027: Kódfuttatásra alkalmas sebezhetőségek a Word támogatott verzióiban, a Viewer és Converter alkalmazásokban. A Windowsos és Mac-es változatok is érntettek, bár a problémák csak a Word 2000 esetében kaptak kritikus besorolást.

No, ma nem voltam túl bőbeszédű, de lassan elkezdenek beesni a ZDI meg iDefense riportok, a milw0rmről nem beszélve, szóval stay tuned! Ja, és ha jól látom a DirectX sebezhetőségre nem született megnyugató válasz (legalábbis a vonatkozó tanácslatot nem frissítették), lehet kezdeni spekulálni...

Címkék: microsoft windows vista patch internet explorer excel word works

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.