Mesterhármas
A héten megpukkantották ((c) Breach :) a LinkedIn üzleti közösségi oldal, az eHarmony társkereső és a Last.fm közösségi rádió felhasználói adatbázisainak jelentékeny részét, összesen mintegy 17 millió jelszó hash-t téve közkinccsé. A helyzet még szomorúbb, ha számításba vesszük, hogy a most nagyobb nyilvánosságot kapott dumpok már 2011 óta keringhetnek bizonyos körökben, valamint hogy egyik site-on sem alkalmaztak salt-ot a hash-eléshez. A jelszavak nagy része természetesen gyengének bizonyult, a spammerek már meg is kezdték felhasználásukat.
Adobe frissítések
Az Adobe frissítette a Flash lejátszót illetve a felhasználók nyomására beígért CS5 frissítéseket is közzétette. A Flash Player jelentős újdonsága, hogy Vistától felfelé már Firefoxban is alacsony integritási szintű folyamatban ("védett módban") fut a plugin, jelentősen megnehezítve a lejátszó sérülékenységeit kihasználni kívánó támadók dolgát. Mac-eseknek jó hír, hogy a legfrissebb verzió megkapta a csendes frissítési lehetőséget, valamint az új binárist az Apple is hitelesítette, így a szoftver kompatibilissá vált a Mountain Lion Gatekeeperével.
A Chrome stabil ága a Flash Player-el együtt frissült.
Mozilla Firefox 13
A népszerű böngésző legújabb változata számos sérülékenységet javít, melyek felhasználói interakciót nem igénylő drive-by exploitok létrehozására adhatnak lehetőséget.
PostgreSQL
A népszerű adatbázismotor is javításokat kapott. Több apróság és DoS-ra alkalmas hiba mellett javításra került a pgcrypto modul is. A korábbi verziókban a DES eljárással használt crypt() metódus lerövidítette a jelszavakat, ha azok a 0x80 bájtot tartalmazták, megkönnyítve ezzel a jelszó megfejtésére utazó támadók dolgát.
Jövő héten: Microsoft, Oracle
Jövő héten frissítőkedd, és az Oracle is készül egy Java javítással, ami még az Oracle számítása szerint is 10.0-ás CVSS értékkel rendelkező hibákat fog orvosolni.
axt · http://axtaxt.wordpress.com/ 2012.06.11. 10:29:46
bugslap.com/comics/0x00000009.png