Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Frissítőkedd - 2013. május

2013.05.15. 11:26 | buherator | Szólj hozzá!

Microsoft

MS13-037: 11 frissítés az Internet Explorerhez. A csomag nem tartalmazza a 0-day CVE-2013-1347 javítását (az külön csomagot kapott), de befoltozza a VUPEN által Pwn2Own-on kihasznált két sérülékenységet, de a Chrome exploithoz használt Windows kernel problémát és az IE9 broker folyamatának hibáját csak később fogják javítani. 

MS13-038: Az aktuális Internet Explorer 0-day javítása.

MS13-039: DoS-re alkalmas sérülékenység a HTTP.sys-ben. Egy speciális HTTP fejléccel a Windows 8 és Server 2012 HTTP stackje végtelen ciklusba kergethető. A figyelmeztető sajnos nem tesz említést arról, hogy IIS vagy más szoftver esetében milyenek a kihasználás esélyei.

MS13-040: Két hibajavítás a .NET frameworkhöz. Az egyik probléma az XML szignatúrák hamisítását, a másik az autentikáció megkerülését teszi lehetővé WCF alkalmazásokban - egyik sem hangzik túl jól.

MS13-041: A Lync kliens use-after-free sérülékenysége távoli kódfuttatást tesz lehetővé, amennyiben egy támadó speciális tartalmat oszt meg, és ennek megtekintésére az áldozat elfogadja a meghívást.

MS13-042: Tizenegy hibajavítás a Microsoft Publisherhez, melyek mindegyike a szoftver saját fájlformátumának helytelen kezeléséből fakad, és kódfuttatást tesz lehetővé

MS13-043: Egy Office 2003 SP3-at érintő sérülékenység javítása. A probléma a Word Shape objektumainak helytelen kezeléséből ered, és elméletileg bármely Office komponensben triggerelhető.

MS13-044: Egy XML External Entity-ket használó fájl információszivárgást idézhet elő Visio-ban. Kódfuttatásra itt nincs lehetőség, de az XEE-kkel érdemes máshol is vigyázni ;)

MS13-045: A Windows Essentials Writer komponense helytelenül kezeli az URI-kat, ami lehetőséget ad egy támadónak fájlok felülírására illetve a proxy beállítások módosítására, ha az áldozat egy speciális linkre kattint. 

MS13-046: Három jogosultságkiterjesztésre alkalmat adó probléma javítása a Windows összes támogatott változatához. 

Linux

Az utóbbi napokban két helyi Linux kernel exploit is napvilágot látott. Az egyik kihasznált sérülékenység állítólag már három éve ismert, most csendben javították. A másik esetében is hasonló a helyzet.

Mozilla

A Mozillánál is javították a Firefox Pwn2Own sérülékenységeit még a 20-as verziónál, a most megjelent 21-es további 8 biztonsági problémát orvosol, míg a Thunderbird e-mail kliensben 6 sérülékenységet javítottak.

Adobe

A Micrososft frissítésekkel párhuzamosan immár szokásosan frissült a Flash Player is - az Adobe összesen 13 memóriakorrupciós sérülékenységet javított. Érdemesnek tartom kiemelni, hogy a VUPEN a most még javítatlan IE9 broker sérülékenységet egy Flash expoloitból kiindulva használta ki, szóval a sandboxingra egyelőre nem érdemes hagyatkozni Flash+IE kombináció esetén. Az IE10 és a Chrome automatikusan frissíti a lejátszót.

Friss: Most látom, hogy az Adobe végre kiadott egy hotfixet a szintén 0-day-el fenyegetett Cold Fusion-höz, valamint 27 hibát javított az Acrobatban és a Readerben.

Címkék: microsoft windows linux firefox flash patch office adobe thunderbird internet explorer .net mozilla lync

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.