Oracle

A tegnapi nap legnagyobb száma az Oracle első negyedéves CPU-ja, valamint az ezzel együtt megjelentetett Java biztonsági frissítőcsomag volt. A figyelmeztetők szokásosan szűkszavúak, azt azonban érdemes megjegyezni, hogy az Oracle Database Workload Managert illetve a JRockit JVM-et it 10.0-ás CVSS besorolású (távolról, autentikáció nélkül, könnyen kihasználható, teljes rendszerkomprommittációhoz vezető) problémák sújtják. Részletesebb leírást egyelőre csak egy kevésbé veszélyes HTTP header injection/cache poisoning problémáról találtam a SEC Consult jóvoltából.

A Java esetében a független kutatóknak köszönhetően valamivel talán jobb a helyzet - már ami a sérülékenységek jellegének megismerését illeti. A 42 foltozott sérülékenység jelzi, hogy bár a Java-t célzó támadások - feltehetően a gyártó által bevezetett (végre működőképes) biztonsági szinteknek illetve a böngészőgyártók click-to-play megvalósításainak köszönhetően - az utóbbi időben alábbhagytak, a futtatókörnyezet továbbra is számos lehetőséget ad a támadásra. 

A sérülékenységek dokumentálásában természetesen most is élen jár a Security Explorations: A mostani frissítés hét darab, a cég által bejelentett problémát orvosol, melyek kihasználására készített PoC kódok elérhetők az SE jól ismert projekt oldalán. A csapat ezen túl nyilvánosságra hozott egy, az Oracle által 6 hete figyelmen kívül hagyott problémát a bytecode verifierben, valamint arra is felhívta a figyelmet, hogy egy, az Oracle által most új biztonsági fejlesztésként aposztrofált konfigurációs módosítás valójában egy nyolc éve ismert probléma megoldása:

A Java világ távoli eljáráshívást megvalósító RMI protokollja eddig alapértelmezetten lehetővé tette ún távoli kódbázisok használatát. Ezzel lényegében rá lehetett venni az RMI kiszolgálókat, hogy az RMI kliens által megadott osztályokat töltsenek be, így a kliens-oldali sandbox-kitörések szerver-oldalra is kiterjeszthetővé váltak. Bár a most javított 42 sérülékenység közül a hivatalos figyelmeztető csak 2-t említ szerver-oldalon  is kihasználhatónak, ilyen vagy hasonló módszerrel a maradék is hasznot hajthat a támadónak. Az Update 21 a távoli kódbázisok használatát letiltja a konfigurációban. 

Bár nem közvetlenül a Java platformot érinti a SEC Consult egy, az Internet Explorerbe történő intergrációt elősegítő ActiveX vezérlőt érintő probléma részleteit is közzé tette - a most megjelent frissítés ezt a problémát is orvosolja.

Apple felhasználóknak ezt a posztot érdemes elolvasni a frissítésről.

Cisco

Bár ez már mai hír, azért felhívnám a figyelmet, hogy a Cisco egy tetszőleges kódfuttatásra alkalmat adó SQL injection problémát javított a Network Admission Control Managerben, valamint a TelePresence szolgáltatás lelövésére alkalmat adó hibát is orvosolt.

Google Chrome

Frissült a Google böngészője is: külön érdekesség, hogy a gyártó Ralf-Philipp Weinmannt 31337-1 dollárral jutalmazta három maga által felfedezett bug együttes kihasználására készített PoC exploitért illetve leírásért. A problémák elsősorban a WebGL interfészeléséért felelős O3D komponenst érintették (thx @Balo).

Van egy olyan érzésem, hogy az MSF modulkészlete szépen fog bővülni az elkövetkező napokban :)