Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Az idő vas foga és önarccsapás-hegyek

2011.02.09. 23:00 | buherator | 7 komment

Nos, a legutóbbi microsoftos hibaösszesítővel nem ért véget a foltozandó szoftverek sora, tegnap ugyanis egész frissítéscunami materializálódott a virtuális térben (ez vajon kellően cypberpunk volt?). 

Az Adobe például frissítést adott ki a Shockwave és Flash Playerekhez, a Reader 9-es és 10-es főverzióihoz, valamint a ColdFusion kiszolgálóhoz is. A hibák részleteibe most nem fogok belemenni, de felhívnám a figyelmet, hogy PDF olvasónban az .iif, .rgba, .bmp (!!!), .psd, és .fli formátumok feldolgozásában is volt kódfuttatást lehetővé tevő hiba, és akkor még csak a képformátumokról beszéltünk (a rémisztően bonyolult BMP-k feldolgozását egyébként két helyen is javítani kellett)!

És elkezdhetünk szörnyülködni azon, hogy az Adobe Reader hibáit lassan már számontartani sem lehet, vagy hogy két hónapot kell várni egy-egy aktívan kihasznált IE hiba javítására, de ezekben az esetekben legalább annyi elmondható, hogy a hibakezelő folyamatok, ha nem is kifogástalanul, de működnek!

A hibavadászok egyik platformjául szolgáló Zero Day Initiative tavaly augusztusban megváltoztatta felelős nyilvánosságrahozatalra épülő politikáját, és azóta a fél évnél hosszabb ideje javítatlan sebezhetőségek leírását nyilvánosságra hozzák.

A most közzétett hibalisákban a Microsoft, az IBM, a HP, az SCO, a CA, a Novell és az EMC termékei szerepelnek, olyan szoftverekkel, mint az MS Office Excel, az IBM Informix, vagy a HP Data Protector. A hibajelentések óta lezajlott események naplóját sajnos csak az IBM termékeihez mellékelték (ez vajon véletlen a HP által felvásárolt ZDI részéről? :). Ezek szerint a Nagy Kék a 2008-ban beérkezett proof-of-concept kódokkal 2 évig gyakorlatilag nem foglalkozott, majd újra kérte a kódokat, amiket nem tudott működésre bírni, végül vélhetően "nem reprodukálható" cimkével lezárta a hibajegyeket. 

Aztán itt van a Sun-t bekebelező Oracle, akitől most jött ki a javítás a már tárgyalt lebegőpontos-konverzió problémára. Ezzel egyidőben került nyilvánosságra egy két éve javítatlan probléma leírása, melyet a gyártó /*implements Sun, Oracle*/ úgy tűnik, nem is tekint biztonsági hibának:

A dolog lényege, hogy a Swing könyvtár createComponent() metódusával appletben is létre lehet hozni, egy egyébként nem engedélyezett JFileChooser objektumot, amely a jól ismert fájlválasztó ablakot jeleníti meg. Tapasztaltabb olvasóimnak bizonyára beugrik, hogy ezt az ablakot bizony rengeteg csúnyaságra lehet használni, például fájlok átnevezésére, vagy könyvtárak létrehozására. A baj az, hogy egy támadás során éppen az áldozat az, akinek feldobódik ez az ablak, tőle pedig nem várhatjuk el, hogy meghackelje a saját rendszerét. Sami Koviu, a hiba felfedezője azonban elegendő időt töltött JavaDoc olvasgatásával ahhoz, hogy rájöjjön, a Windows.getWindows() metódus visszaadja az összes, applet által elérhető ablak referenciáját, a JFileChooser Component ősosztálya pedig definiál egy getComponents() metódust, melyen keresztül a fájlválasztó ablakon belüli összes objetum hozzáférhetővé válik az applet készítője számára. Így gyakorlatilag bármilyen felhasználói viselkedés szimulálható, egy megfelelő helyre, megfelelő névvel elhelyezett fájl pedig végzetes lehet egy rendszer védelme szempontjából.

Ezek után azt hiszem csak a klasszikust idézhetem: Senkiháziak kezében van az IT szakma! 

Címkék: microsoft java patch bug adobe ibm hp oracle sco ca novell emc zdi

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2011.02.10. 20:37:52

Ez felviditott, koszi. Epic wtf wave begins nao

WtfwTFwtFWtf

synapse

buherator · http://buhera.blog.hu 2011.02.10. 20:50:32

Bónuszként @CaptnPain kommentárja:

"Ha az Adobe így folytatja, előbb fogyunk ki a CVE számokból, mint az IPv4 címekből"

http://twitter.com/#!/CaptnPain/status/35278416592908288

Mkat 2011.02.11. 18:49:55

Az Adobe frissítés az Acrobat Pro 9-nél olyan hibát okozott, hogy printer-istallációt hiányol a program. A bug-ot lejelentettem. Mentegetőztek, és közölték, hogy dolgoznak rajta. A következő workaround-ot javasolták, ami működik is:
1. Go to Printers and Faxes (XP) or Printers and Devices (Win 7) and make the Adobe PDF Printer the default printer.
2. Go back to the Print dialog box and choose your hardware printer.
3. Click the Print button and you should be able to successfully print.

A hibabejelentésre perceken belül reagáltak, de azért döbbenetes számomra az egész. Megértem a klasszikus idézetet a blog végén.

fidesz = házmesterek pártja 2011.02.15. 18:11:25

@Mkat: az a klasszikus idézet a végén... kb. olyan, mintha az orvosokra mondaná ugyanezt. Mára már akkorára duzzadtak ezek a nyomorult szoftverrendszerek, hogy szerintem esélytelen olyat találni, amiben ne lenne( viszonylag régi) biztonsági lyuk.

Mkat 2011.02.15. 19:55:26

@Atomot az indexre!: Igen. Az egyik barátom a klasszikus idézetben a mondat végéről az "is" szót hiányolta. Persze lehet okolni a bonyolultságot, meg a gyors változást, de vannak a szoftvereknél sokkal bonyolultabb rendszerek, amelyek kevesebb hibával működnek, pl. én, meg néhányan, akik olvassák ezt a megjegyzést. :):)