Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Microsoft frissítőkedd - 2010. február

2010.02.09. 21:32 | buherator | 6 komment

Gigapack érkezett, inkább neki is kezdek, mert sosem érünk a végére:

  • MS10-003: Egy Microsoft Office XP-t és 2004 Mac-t érintő probléma javítása, amely kártékony kódok lefutását eredményezheti.
  • MS10-004: Hat MS PowerPoint sebzehetőség javítása, melyek szintén illetéktelen kódfuttatást tesznak lehetővé.
  • MS10-005: A csodálatos Paintben túlcsordul egy puffer ha nem elvárt formátumú JPEG fájlt etetünk vele, ezt a bakit orvosolták ezzel a folttal.
  • MS10-006: Az SMB kliens problémája lehetővé teszi egy rosszindulatú támadó számára, hogy kártékony kódot futtasson az általa üzemeltetett SMB kiszolgálóra csatlakozók számítógépén. További infók az SRD blog SMB sebezhetőségeknek szentelt posztjában, és Laurent Gaffié is sok hasznos infótt tett közzé a blogján.
  • MS10-007: Na, itt jön az első érdekesség, a ShellExecute API hívás hibája távoli kódfuttatást tesz lehetővé XP, 2000 és 2003 rendszereken. A problémát az okozza, hogy a metódust fájl futtatásra, és URL betöltésre is lehet használni, ez a két funkció pedig az átadott paraméter formátumától függ, de olyan "URL-nek tűnő stringek" is megfogalmazhatók, melyek valójában egy tetszőleges parancsott hajtanak végre. A hibát akár egy weboldalon elhelyezett linken keresztül is ki lehet használni - ennek ellenére a SRD vonatkozó bejegyzése szerint a fenti viselkedés csak a böngésző kontextusán kívül érvényesül.
  • MS10-008: Ez a folt egy RSClientPrint ActiveX vezérlőre vonatkozó killbiteket állít be. Ezt a komponens még 2008-ban letiltoták, de úgy tűnik, hogy rés akadt a pajzson. A probléma kihasználható IE-n keresztül, és az alapértelmezetten szigorúbb biztonsági beállításoknak köszönhetően kevésbé érinti a Server kiadásokat.
  • MS10-009: Egy igazi csemege, ínyenceknek, amely a TCP/IP stack IPv6 implementációját érinti, a Windows Server 2008 esetében is kritikus besorolást kapott, a Microsoft viszont nem tartja valószínűnek, hogy kódfuttatásra is alkalmas exploit jelenik meg az elkövetkező 30 napban - mi ez, ha nem kihívás? :)
  • MS10-010: A Windows 2008-as Hyper-V-t érintő probléma, amely a hoszt rendszer összeomlását idézheti elő egy guestből triggerelve.
  • MS10-011: Helyi jogosultságkiterjesztésre alkalmas probléma XP-n, 2000-n és 2003-n. Az operációs rendszer nem megfelelően terminálja a kijelentkező felhasználó folyamatait, így egy megfelelően elkészített alkalmazás kernel módba lépet.
  • MS10-012: Egy sor SMB szolgáltatást érintő probléma, ezek közül egy autentikáció utáni távoli kódfuttatást, kettő autentikáció nélküli DoS-t, az utolsó pedig jogosulatlan hozzáférést tesz lehetővé, mivel kevés az entrópia, mikor a szerver kihívást generál a felhazsnáló azonosításához (ez utóbbi problémáról részletes leírás és PoC érhető el itt). Érdemes megjegyezni, hogy ez a csomag kritikus besorolást kapott Windows 7 és Server 2008 rendszereken, mivel ezekben rendszerekben a sebezhető kódrészlet kernelmódba került át, ahol az eltérő időzítési tulajdonságok miatt egy versenyhelyzetből származó sebezhetőség is bejött a képbe.
  • MS10-013: A DirectShow API illetéktelen kódfuttatást tesz lehetővé ha az egyszeri júzer trükkös AVI fájlokat próbál lejátszani.
  • MS10-014: A Kerberos autentikációt érintő DoS sebezhetőség, amelyet speciális ticketmegújító kérésekkel lehet kihasználni.
  • MS10-015: Ezzel a javítócsomaggal szüntették meg a Windows NT 3.1 óta jelenlévő, NTVDM alrendszert érintő, jogosultságkiterjesztére alkalmas problémát, valamint még egy, hasonló következményekkel járó sebezhetőséget a kernel kivételkezelő eljárásában.

Na, a hivatalos MS advisory-kat még nem dobta ki a feedolvasó, de a poszt már készen áll :)

Címkék: microsoft windows patch activex

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2010.02.10. 09:31:18

"Helyi jogosultságkiterjesztésre alkalmas probléma XP-n, 2000-n és 2003-n. Az operációs rendszer nem megfelelően terminálja a kijelentkező felhasználó folyamatait, így egy megfelelően elkészített alkalmazás kernel módba lépet."

Ahahahah :D

Illes 2010.02.10. 14:09:07

Mi az hogy valakit leszúrok, erre mindenhatóvá válik? Hállo, Neo? :)

Garpszerint.. · http://garpszerint.hu 2010.02.12. 10:17:01

Nem tudom, hogy egyedi-e, ami velem történt, mindenesetre leírom:

Win7, frissítések letöltve, kikapcskor installálva. Másnap bővítettem a gépem egy 500 gigás HDD-vel, a Win7 elkezdett betölteni, de a felhasználó bejelentkezéséig sem ér el. Ekkor csináltam egy rendszervisszaállítást a frissítés előttre, így indult a gép rendesen, frissítések újra fel, ezek után semmi gond.
Akkor ez most mi volt? Bug?

csz0 (törölt) 2010.02.12. 18:38:12

A frissítésekkel gond van, én még nem indítottam újra, mióta feltettem, csak hibernáltattam. Még szerencse, ma jött a hír:
www.origo.hu/techbazis/szamitogep/20100212-kek-halalt-okozhat-az-xp-biztonsagi-frissitese.html

buherator · http://buhera.blog.hu 2010.02.12. 20:08:02

@Garpszerint..: @csz0:
A legújabb infó az, hogy azok a gépek haltak meg, amelyeken rootkit volt a frissítés előtt :P

tech.slashdot.org/story/10/02/12/1455203/Rootkit-May-Be-Behind-Windows-Blue-Screen

csz0 (törölt) 2010.02.12. 22:39:16

@buherator: hihi, akkor visszatehetem a frissítéseket s lesz egy plusz rootkit-detektorom :))