A vasárnapi összefoglalóban már említettem, hogy a legutóbbi Java 0-dayt terítő banda egyik szerverét figyelve Eric Romang egy új exploitra bukkant. Mivel a fő HTML oldal egy SWF fájlt is behúzott, a szakértő eleinte egy Flash sérülékenységre gyanakodott, mostanra azonban a Metasploit szakértői több független kutatóval együttműködve bebizonyították, hogy valójában egy Internet Explorer 7-8-9-et érintő 0-day use-after-free sérülékenység kihasználásáról van szó (a Flash-t ha jól nézem csak heap sprayingre használták).
A támadók Poison Ivy trójait terítenek a sérülékenység segítségével, a hiba kijavításáig érdemes alternatív böngészőre vagy IE10-re váltani.
Az exploit bekerült a Metasploit keretrendszerbe is, a modul a már említett IE verziókkal XP-n, Vistán és 7-en is működik.
Friss: A Microsoft vizsgálja a problémát, egyelőre nem eldöntött, hogy soron kívli patch-el oldják-e meg a problémát, vagy várni kell az októberi frissítőkeddig.
Friss2: A Microsoft nem sokára kiad egy FixIt-et a problémára, a mélyre ható védelem érdekében érdemes EMET-et használni:
A videón látszik, hogy bár az EMET érzékelhetően megfogja a teljesítményt, a böngésző a pluginekkel együtt használható marad, az exploit-on pedig elég sokat kéne reszelni, hogy lefusson (ha meg lehetne oldani egyáltalán)
zyrobs 2012.09.18. 01:37:43
Kár érte, mert jó böngésző.
Park Ádám 2012.09.18. 08:26:10
Vajon a no-sql cuccoknak, mongodb, couchdb, illetve az egyre populárisabb node.js 0day biztonsági problémáinak lehet-e már hírértéke az ehhez hasonló blogokon?
Szerintem a fentiek használata egyre elterjedtebb. Ha megnézzük a github-ot, a legpopulárisabb projektek között ott vannak a node.js frameworkök és akad 0day is rendesen. Nehéz reprezentatív statisztikát találni, de érzésre már jelentős szelete lehet, ahhoz, hogy figyelembe vegyük. Hogy látja a blogíró?
buherator · http://buhera.blog.hu 2012.09.18. 09:11:09
Node.js-el nem foglalkoztam, de ezzel kapcsolatban is igaz az, hogy a konkrét projektek kevésbé érdekesek (hacsak nincs mögöttük jelentős felhasználói bázis), a platform hibái annál inkább.
Park Ádám 2012.09.18. 12:09:01
Node.js-ben pedig van egy minimális webszerver implementáció, amin keresztül a kommunikáció történik, mind a www proxy, mind a mongodb felé. mongoban éppen van auth, de kevésbé használják, ha csak nincs valami publikus felület (olyan, mint a phpmyadmin). És mindig van valami közbeékelt OM tool, mint a github.com/LearnBoost/mongoose (a validációs hibák egyik forrása.)
Azért emelem ki ezeket, mert általában így, együtt alkalmazzák. Szerintem már van jelentősége, főleg felhőben számolt webalkalmazásoknál, illetve mobilappok kiszolgálásánál. Érdemes megnézni mekkora community van mögötte, és a buzz egyre csak nő. Ugyanazt a tendenciát látom popularitásban, mint amikor annó a Drupal fellendült.
buherator · http://buhera.blog.hu 2012.09.18. 18:17:04
Meister · https://www.facebook.com/Meister1977 2012.09.18. 18:48:09
support.microsoft.com/kb/2458544/hu
buherator · http://buhera.blog.hu 2012.09.18. 18:54:42
Ha ma sem tudok elaludni, csinálok valami anyagot a konfigurációs tudnivalókról :)
Meister · https://www.facebook.com/Meister1977 2012.09.18. 19:16:24
technet.microsoft.com/en-us/security/advisory/2757760
Suggested Actions --> Workarounds --> Deploy the Enhanced Mitigation Experience Toolkit