Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Régi Xtra, jó Xtra

2012.12.20. 21:06 | buherator | Szólj hozzá!

Az US-CERT két aggodalomra okot adó figyelmeztetést is kiadott a Shockwave Playerrel kapcsolatban. Mindkét probléma az ún. Xtrák kezelését érinti. Ezek lényegében a bővítmény bővítményei, melyeket a lejátszó automatikusan be- illetve letölt, amennyiben ezt egy Shockwave tartalom igényli. A helyzet elsőre nem tűnik nagyon rossznak, ugyanis a lejátszó csak a Macromedia vagy az Adobe által digitálisan aláírt binárisokat lesz hajlandó futtatni. 

De gondoljuk csak végig ezt még egyszer: Macromedia?! Bizony, egy rosszándékú klipp azt is kérheti a lejátszótól, hogy egy elavult verziójú Xtrát töltsön be, mellyel kapcsolatban már rég óta ismertek lehetnek kihasználható biztonsági rések. Mivel a kiegészítések digitálisan aláírtak, a lejátszó nem idegesíti a felhasználót mindenféle megerősítő ablakkal betöltéskor. 

Erről a problémáról a CERT már 2010-ben értesítette az Adobe-t, javítás azonban csak jövő februárra várható.

Másrészt mint kiderült, a "Full" módban telepített Shockwave Player eleve egy elavult verziójú Flash lejátszót tartalmaz, annak minden bajával együtt, a rendszerben egyébként telepített, és remélhetőleg frissen tartott változatra pedig rá sem hederít. 

Utóbbi problémán a gyártó konfiguráció-menedzsment folyamatainak javítása segíthet, előbbi kérdéssel kapcsolatban viszont érdemes elgondolkodni azon, hogy bizonyos futtatható állományok hitelesítésekor a tanúsítványok lejáratát a biztonsági-frissítési ciklusokat figyelembe véve megfelelően szűkre húzzuk.

Címkék: flash bug adobe shockwave macromedia xtra

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.