Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Frissítőhétfő - Oracle Java és Microsoft Internet Explorer

2013.01.14. 20:45 | buherator | Szólj hozzá!

A mai napon két, aktívan kihasznált sérülékenységre is javítást kaptunk. 

Az első a híres-neves CVE-2013-0422 Java 7 sérülékenységre (és egy másik, kevésbé égető problémára is) ad megoldást az update 11 formájában. A konkrét hiba, de talán általában a Java sérülékenységek komplexitását is jól mutatja, hogy a problémát elemző neves szakértők is egymás segítségére szorulnak a hibák gyökerének feltárásához: először Adam Gowdiak kényszerült kisebb helyesbítésre, majd az Immunity etalonként kezelt elemzéséről is kiderült, hogy kissé pontatlan. A szomorú az a történetben, hogy úgy tűnik, maga a gyártó sem végzett kifogástalan munkát: a illetéktelen osztályreferencia-szerzésre lehetőséget adó sérülékenység ugyanis a JDK7u11-ben is jelent van. Értékelendő lépés ugyanakkor az Oracle részéről, hogy az új Java 7 változatok biztonsági szintjét alapértelmezetten Magasra emelte, azaz csak a hitelesített appletek futthatnak automatikusan (nem mintha a botmesterek ne tudnának fillérekért tanúsítványt vásárolni a sarki CA-nál...).

Friss (jan. 14 21:32): A DHS továbbra sem javasolja a Java használatát (böngészőkben), Altieres Rohr ettől független, de megfontolandó érvelést is ad a jótanács mellé.

A másik javítócsomag (MS13-008) a Microsoft Internet Explorer 6-8 változatait érintő, use-after-free sérülékenységre ad megoldást. Bár a gyártó korábban egy ideiglenes megoldásnak szánt FixIt-et is kiadott a problémára, ez nem bizonyult 100%-ig hatékonyak, így a frissítés most a gyorsajvítással rendelkezőknek is erősen ajánlott.

Címkék: microsoft java patch internet explorer oracle

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.