Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Frissítőkedd - 2013. október

2013.10.09. 13:38 | buherator | Szólj hozzá!

Microsoft

MS13-080A frissítés orvosolja a nem rég aktív támadásokban felfedezett Internet Explorer 0-day-t (Metasploit modul és leírás itt), valamint egy feltehetően szeptember közepe óta aktív, szintén célzott, japán és koreai felhasználókra lövő támadások során használt use-after-free problémát is. A csomagban ezen kívül még 8 sérülékenységet javítanak. 

Kapcsolódó hír, hogy a Microsoft a BlueHat Prize pályázat keretében 100.000 dollárt ítélt oda James Forshaw-nak egy, az IE11 bétáját érintő tervezési problma felfedezéséért, bejelentéséért, valamint a javításban történő aktív közreműködésért. Emellett a cég kisebb részletekben további 28.000 dollárt osztott ki különböző kutatók között a Windows és az IE megerősítésére tett erőfeszítéseikért. Sajnos a feltárt hibák részletei egyelőre nem nyilvánosak, minden esetre jó látni a MS elköteleződését a független biztonsági kutatók megfizetésére.

MS13-081: Ez a javítócsoag összesen hét darab, a Windows OpenType illetve TrueType betűkészletek kezelésében vétett hibát orvosol, melyek kihasználása rendszer szintű kódfuttatáshoz vezethet megbízhatatlan tartalmak betöltésekor.

MS13-082: Ez a csomag a .NET keretrendszerhez jár, és pár DoS-t okozó probléma megszűntetése mellett megakadályozza, hogy ugyancsak OpenType betűkészletek segítségével egy támadó tetszőleges kódfuttatáshoz jusson XBAP alkalmazásokon keresztül.

MS13-083: A COMCTL32 hibája lehetővé teszi, hogy egy hitelesítetlen támadó egy speciális kérés elküldésével tetszőleges kódfuttatást nyerjen ASP.NET webalkalmazásokat futtató kiszolgálókon. Az integer túlcsordulás probléma csak 64-bites rendszereket érint, de ettől még ez egy elég fincsi sérülékenységnek tűnik!

MS13-084: Ez a javítás az Office szerver komponenseihez érkezett. A javított sérülékenységek az alkalmazásokon belüli privilégiumemeléshez, illetve memóriakorrupciós hibákon keresztül tetszőleges kódfutattáshoz vezethetnek.

MS13-085: A Google fuzz farmjáról erre a hónapra két Office sérülékenység jutott, melyek speciális Excel dokumentumok feldolgozáskor eredményezhetnek kódfuttatást az áldozat felhasználója nevében.

MS13-086: Még mindig Office, de ezúttal a Word komponensben javítanak 2 memóriakorrupciós sérülékenységet.

MS13-087: Egy Silverlight információszivárgás javítása - egy másik sérülékenységgel kombinálva jól jöhet, egyébként nem érdemes nagyobb figyelmet.

Adobe

Az Adobe ebben a hónapban visszafogta magát (lehet, hogy mostanában inkább az incidenskezeléssel voltak elfoglalva), a Reader illetve az Acrobat egy, a JavaScript motor biztonsági kontrolljait érintő javítást kapott, ami megakadályozza JS-ben definiált erőforrások megnyílását PDF dokumentumokban.

Ezen kívül javításra került egy RoboHelp-et érintő memóriakorrupciós probléma, amelyre még csak rendes frissítő szoftvert sem adtak ki, hanem az üzemeltetőknek kézzel kell lecserélniük az alkalmazás egyik DLL-jét...

A most megjelent Flash frissítés nem tartalmaz biztonságot érintő újdonságokat.

Címkék: microsoft windows patch office adobe .net asp.net adobe reader adobe acrobat bluehat prize robohelp

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.