Zimankós jóestét mindenkinek...

Microsoft

MS13-009: Összesen 13 hibajavítás az Internet Explorer összes változatához. EGy kivételével use-after-free problémákról van szó - a tutorial második része készülőben, stay tuned ;)

MS13-010: Az előző pponthoz kapcsolódó puffer túlcsordulás probléma a VML formátum feldolgozójában, ami akár böngészőn keresztüli kódfuttatásra is lehetőséget adhat. A Server Core installációkon kívül minden OS-IE kombó érintett, csakúgy, mint az előző esetben.

MS13-011: Úgy rémlik, régen volt már DirectSHow-val kapcsolatos probléma - ennek a sorozatnak most vége. A Quartz.dll egyik metódusának hibáját kihasználva kódfuttatás érhető el weboldalakba, vagy office dokumentumokba ágyazott, illetve streamelt videó tartalmak esetén. Az érintett szoftverek listája elég hézagos, nézéétek a hivatalos figyelmeztetőt a pontos listáért.

MS13-012: Oracle Outside In foltok átszivárogtatása az Exchangebe. Az Outside In transcoding szolgáltatásán keresztül kódfuttatás érhető el, amennyiben egy felhasználó OWA-n megnyitja egy speciálisan összeállított dokumentum előképét. A transcoding szolgáltatás LocalService-ként, minimális jogosultságokkal fut. Az Exchange Server 2007-es és 2010-es változatai érintettek.

MS13-013: Szintén Outside In problémák javítása, ezúttal a FAST Search Serverhez. A problémák csak bekapcsolt Advanced Filter Pack mellett jönnek elő, és egy elkopaszított biztonsági tokennel futó felhasználói folyamatba engednek beletúrni. A FAST Search Server 2010-es változata érintett.

MS13-014: Egy támadó kinyírhat egy NFS-t futtató Windows kiszolgálót egy csak-olvasható könyvtáron végzett fájlművelettel. Windows Server 2008 és 2012 érintettek.

MS13-015: A szokásos havi .NET privilégiumemelős móka. Akkor vagy bajban, ha XBAP alkalmazásokat futtatgatsz a webről, vagy ha gonosz felhasználóknak kínálsz korlátozott .NET futtatási lehetőséget.

MS13-016: Ez a j00ru srác nagyon beletenyerelt valamibe, a frissítés 30 általa (és néhány kollegája által) bejelentett helyi privilégiumemelő hibát orvosol ezzel a folttal. Minden esetben versenyhelyzet problémákról van szó. Minden Windows változat érintett.

MS13-017: ...és még mindig a Google-s srácokhoz fűzűdő javítások. Két újabb kernel race-condition és egy elbaltázott referenciaszámláló.

MS13-018: Ez a darab jól illeszkedik a packet-fu sorozathoz. Ha egy TCP szolgáltatás lezárja a kapcsolatot, a kliens viszont 0-s ablakó ACK-val válaszol, a kapcsolat nyitva marad. Ha ezt elégszer eljátsszuk, a TCP/IP-nek szánt memória elfogy, és nem lehet több kapcsolatot nyitni, azaz DoS-ba kerül a rendszer. Kérdés az, hogy melyik elterjedt Windows szolgáltatás szokott gyakran FIN-t küldeni a kliensnek - az IIS az SRD szerint nem sérülékeny, de mintha az RDP hajlamos lenne eldobálni az inaktív kapcsolatokat (bár ez lehet hogy kliens-vezérelt viselkedés - mondjátok meg a tutit kommentben!). Vistánál korábbi rendszereket (így a 2003-akat) nem érinti a probléma.

MS13-019: Újabb privilégiumemelésre alkalmas probléma a CRSS-ben, itt is egy tévesztő referenciaszámláló okozza a galibát. Windows 7 és etől felfele érintett.

A fentieken túl jó hír, hogy az EMET 3.0-hoz mostantúl hivatalos support jár a megfelelő előfizetéssel rendelkező ügyfeleknek - komoly helyen megéri foglalkozni a témával!

Adobe

Az Adobe egy rakás frissítést adott ki a Flash és Shockwave Playerekhez. A Flash frissítéssel elérhetővé vált a nem rég beharangozott Office click-to-play funkció is. A Flash javítócsomag Windowson 1-es, Mac-en 2-es a többi platformon 3-as prioritást kapott. A Shockwave Windowson is Mac-en is 2-es. Az Apple érezhetően egyre vonzóbb célponttá válik.

Egyebek

Frissült a Chrome linuxos változata, a beépített Flash lejátszó pedig minden platformon.

A Rails is kapott egy foltot: javították a JSON-ön keresztüli kódfuttatás problémát, és azt a nem rég felfedezett rést is, melyen keresztül megkerülhető az attr_protected védelme. Utóbbi problémáról tömören:

A RoR kererendszer a fejlesztő életének megkönnyítése érdekében hajlamos a modell objektumok adattagjait megszerkesztgetni megfelelő HTTP kérések hatására, ami nem mindig jó, ezért a fejlesztő megmondhatja, hogy melyek azok az attributumok, amikhez a kliens (nem) nyúlhat hozzá. A probléma az, hogy a védelem implementálásakor a fejlesztők nem vették figyelembe a Ruby Security Guide ajánlásait (sem), és megkerülhető reguláris kifejezésekkel próbálták szűrni a hozzáférhető attributumokat.