Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Frissítőkedd - 2013. január

2013.01.08. 21:03 | buherator | Szólj hozzá!

Microsoft

MS13-001: Erős darabbal indul az új év: a sokak szívében kiemelt helyet elfoglaló Printer Spooler szolgáltatás hibája lényegében a nyomtatási sorok "megfertőzését" teszi lehetővé: egy nomtatási joggal rendelkező felhasználó olyan feladatokat hozhat létre a nyomtató kiszolgálón, melyek kódfuttaáshoz vezetnek a nyomtatási sorhoz hozáfférő más felhasználók számítógépén. Fontos megjegyezni ugyanakkor, hogy a Windows beépített eszközein keresztül nem használható ki a probléma, kizárólag egyes más gyártótól származó, Windows API-t használó szoftverek lehetnek érintettek. Helyi hozzáféréssel rendelkező támadók jogosultságkiterjesztésre használhatják a problémát, a sérülékeny szolgáltatás ugyanis Local System jogkörrel fut.

MS13-002: Szintén egy régi ismerős, az XML Core Services sérülékenységeinek javítása. Az érintett szoftverek listája igen széles, így pontos listáért a hivatalos bulletint tudom ajánlani. A sérülékenységek általában úgy triggerelhetők, hogy az áldozatot rávesszük egy speciális "dokumentum" (első sorban web, office) megnyitására. Friss PoC itt van.

MS13-003: Cross-Site Scripting sérülékenység javítása a System Center Operations Manager 2007-es változataiban. Tovább nem ecsetelném.

MS13-004: CAS megkerülésre illetve helyi jogosultságkiterjesztésre használható .NEt sérülékenységek javításai. 3.5 SP1-en kívül minden támogatott verzió érintett.

MS13-005: A win32k.sys sérülékenységének kihasználásával alacsony integritási szintű folyamatok üzeneteket küldhetnek magasabb szintű folyamatok számára, ezzel tipikusan lehetőséget adva a különböző alkalmazás-sandbox megoldások kijátszására.

MS13-006: Aktív hálózati támadók észrevétlenül downgrade-elhetik a Windows beépített SSL/TLS protokollstackjét használó kapcsolatokat SSLv2-re, engedélyezve gyenge kriptográfiai algoritmusokat is.

MS13-007: A .NET keretrendszerben megvalósított OpenData protokoll kezelőjének hibája szolgáltatásmegtagadást tehet lehetővé távoli autentikálatlan támadók számára speciális HTTP kérések segítségével. 

Adobe

Egy szem puffer túlcsordulásos problémát javítottak a Flash Playerben - a javítás 1-es prioritású Windows-on, a sérülésekre hamarosan exploitok készülhetnek.

Az Adobe Reader és Acrobat termékek 26 hibára kaptak foltot, 9-es vagy annál korábbi olvasók esetén Windows felhasználóknak a gyártó szintén 72 órán belüli frissítést javasol

Firefox 18

Letölthető a szokásos helyről. Buglista itt.

Egyebek

Elég ronda hibát javítottak az NVidia Display Driver Service-ben. Bár egy képernyődriver szolgáltatásról van szó, az általa használt named pipe ACL-je olyan, hogy ahhoz bármely tartományfelhasználó távolról hozzáférhez, rajta keresztül pedig kihasználhat egy stack overflow sérülékenységet. Külön szépség, hogy a szolgáltatás válaszüzenetekben a stack egy részét is visszaköpi, így a stack cookie védelem könnyen megkerülhető. 

Javítás érkezett ezen kívül a wiki.debian.org vesztét okozó MoinMoin sérülékenységre is.

Címkék: microsoft ssl patch nvidia .net xss tls moinmoin

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.