Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kritikus Flash Player frissítések, és...

2013.02.08. 18:59 | buherator | 3 komment

... és egy csipet Java a változatosság kedvéért

Flash

Az Adobe tegnap minden platformon frissítette a Flash Playert. A két javított sérülékenységet aktívan kihasználják célzott és kiterjedt támadások során Windows és Mac felhasználókkal szemben is! Érdekes kérdéseket vet fel, hogy a célzott támadások során használt exploitokat Word fájlokba ágyazva terjesztették, de a lejátszást makróval triggerelték, ami minden rendes konfigon felhasználói megerősítést kér - ugyanez a feladat Office 2010 előtti célpontokkal szemben csendben megoldható.

Utóbbi problémára reagálva az Adobe a következő Flash kiadásban új védelmet vezet be, ami ellenőrzi, hogy a programot régebbi, védett móddal nem rendelkező Office verzión keresztül indították-e. Amennyiben igen, a lejátszó felhasználói megerősítést kér majd az adatfolyam megnyitása előtt. 

Az IE10 júzerek a frissítést már Windows Update-en kapják.

Java

Úgy tűnik, az Oracle elfelejtett betenni néhány frissítést a február elejére előrehozott frissítésébe, így még egy foltot kapunk az eredeti, február 19-i időpontban is.

Végszó

Érdemes összevetni a Java mostani botladozásait az Adobe (vagy akár a Microsoft) korábbi bughullámaival: Flash/PDF biztonság téren igen komoly előrelépés történt az elmúlt években, ezért a gyártó mindenképpen elismerést érdemel. Megjegyzendő ugyanakkor, hogy az Adobe jelentős segítséget kapott a Microsofttól és a Google-től is a sandboxing és a hibavadászat területén - az Oracle termékével kapcsolatban azonban jelenleg nem állnak rendelkezésre ilyen erőforrások, ráadásul (kliens oldalon) a technológia is kifutóban van. Lehet fogadásokat kötni, hogy az applet, mint fogalom beledöglik-e az ellene megindult offenzívába, de abban azt hiszem megállapodhatunk, hogy az offenzív kutatás idáig elég látványos eredményeket tudott felmutatni :)

Címkék: flash java patch gondolat

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

buherator · http://buhera.blog.hu 2013.02.08. 19:03:39

A téma kapcsán eszembe jutott egy régi vita [ buhera.blog.hu/2012/09/02/obfuszkaljunk_java_exploitot/fullcommentlist/1#c17712360 ] és egy újabb cikk:

Bár a konkrét eset nem Java-hoz kapcsolódik, mostanában már egyes malware-eknek is van digitális aláírásuk:

www.theregister.co.uk/2013/02/05/digitally_signed_banking_trojan/

Egy gyors Twitter-poll alapján egyébként nagyjából 200$-ért már hozzá lehet jutni elismert code signing certhez.

Just sayin'

axt · http://axtaxt.wordpress.com/ 2013.02.10. 22:39:59

Szerintem az, hogy minden esetben le kell okézni az applet futását [most már akkor is, ha .ser fileból töltődik be :-)], ki fogja nyírni az appleten keresztül történő exploitálást, mert ennyi erővel ki lehet rakni egy aláírt allpermission-os appletet is.

buherator · http://buhera.blog.hu 2013.02.11. 11:54:00

@axtaxt: Ez meg egy usability pofon, ami döntő tényező lehet ha a terméket/technológiát kell választani.
Az intézkedés következménye lehet egyébként a "Java->Yes" kattintási reflex betanulása is a felhasználók részéről, ami persze az exploitálást szintén megöli, de azért, mert egyre többen engedélyezik automatikusan az AllPerm-t is.