Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Frissítőkedd - 2013. július

2013.07.10. 23:53 | buherator | Szólj hozzá!

Microsoft

MS13-052: 7 hibajavítás a .Net keretrendszerhez, és a Silverlighthoz. A legsúlyosabb probléma kliens oldalon kernel módú kódfuttatást tesz lehetővé (ismét TrueType) speciálisan összeállítot weboldalakon keresztül. A .Net sérülékenységek a Code Access Security megkerülésére is lehetőséget adnak.

MS13-053: Ebben a csomagban összesen hét kernel driverekhez kapcsolódó problémát javítanak, köztük még egy TrueType fontkezeléshez kapcsolódó, weben keresztül kihasználható biztonsági problémát, valamint a Tavis Ormandy által korábban nyilvánosságra hozott sérülékenységet is. Utóbbi sérülékenységet az hírek szerint már korábban kihasználták célzott  támadások során privilégiumemelésre.

MS13-054: Ééés még egy TrueType-pal kapcsolatos hiba! Ez a rosszaság a GDI+ rétegben bújt el és Office-on, Lyncen illetve Visual Studion keresztül tesz lehetővé kódfuttatást, ismét csak rendszer szintű jogosultságokkal. 

MS13-055: Összesen tizenhét hibajavítás az Internet Explorer különböző változataihoz. Kliens-oldali támadásokhoz ezek is remekül használhatók, de nem rögtön az rendszermagba dobják a szerencsés támadót, hanem "csak" a bejelentkezett felhasználó jogait biztosítják. 

MS13-056: Egy tetsztőleges-írást biztosító probléma a DirectShow API-ban kódfuttatást tesz lehetővé, ha a felhasználó megtekint egy spéci GIF-et valamilyen, a hibás API-t használó, harmadik féltől származó alkalmazás segítségével. 

MS13-057: A Windows WMV dekóderének hibája kódfuttatást tesz lehetővé speciálisan összeállított médiafájlok lejátszásakor. Vigyázzatok a megbízhatatlan forrásbóül származó pornóval audiovizuális műalkotásokkal! ;)

MS13-058: Az ehavi gyűjtés egyetlen nem kritikus besorolású eleme a Windows Defendert érinti. A védelmi szoftver frissítéskor lefuttat egy meghatározott nevű fájlt a C:\ gyökérből, ami értelem szerűen jogosultságkiterjesztést enged azon felhasználók számára, akik képesek létrehozni/módosítani ezt a fájlt.

A fentieken túl a Microsoft új biztonsági szabályzatot vezet be a cég online piacterein. Ennek értelmében a Microsoft értesíti a feltöltött alkalmazások gazdáit a szoftverük fontos és kritikus sérülékenységeiről, melyeket a fejlesztő 180 napon belül köteles javítani, ellenkező esetben, illetve ha a sérülékenységet aktívan kihasználják, a Microsoft eltávolítja az alkalmazást.

Adobe

Szokásosan frissült a Flash Player és a Shockwave is, mindkét termékben távoli kódfuttatásra alkalmas problémákat javítottak. Jött egy hotfix a ColdFusion-höz is, ez egy DoS problémán kívül egy olyan sérülékenységet javít, ami lehetővé teszi az alkalmazás komponensek (Component) publikus metódusainak közvetlen meghívását WebSocketeken keresztül.

Az Adobe Reader 9-et nyugdíjazták, használjatok sandboxos X-t vagy méginkább XI-t (bár ezekkel is vannak problémák)!

Google

Megjelent a Chrome 28, a Google kb. 36.000 dollárt fizetett ki a különböző, javított sérülékenységek felfedezőinek, közülük Andrey Labunets 21.500 dollárt tehetett zsebre két hiba mestrei kombinálásáért.

A cég ezen kívül kiadta a foltot a Bluebox által bejelentett problémára - kérdés, hogy ez mennyi idő alatt jut el a különböző szolgáltatókon keresztül a végfelhasználókig.

Cisco

Címkék: microsoft google patch office adobe internet explorer .net cisco silverlight android truetype flash player shockwave player tavis ormandy

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.