Újabb PKI #fail

Az ehavi frissítőcsomag viszonylag izgalmasra sikerült, kezdjük mindjárt azzal, hogy a Google-nél észlelték, hogy a francia ANSSI hitelesítő szolgáltató alá tartozó egyik CA a keresőóriás domainjére szóló tanúsítványt állított ki. Ahogy az érintett CA közleményéből kitűnik, a tanúsítványt a francia pénzügyminisztérium számára generálták, ott pedig hálózatmonitorozó eszközökben használták. A cég közleménye szerint erre "emberi hiba" miatt kerülhetett sor, bár én inkább a "kormányzati ügyfél szava szent" filozófiát vélem felfedezni a lépés mögött. Az érintett köztes branch tanúsítványát visszavonták, a böngészőgyártók pedig úgy tűnik nem tesznek újabb lépéseket az ügyben.

Microsoft 

MS13-096: Ebben a bulletinben kerül javításra a kb. egy hónapja napvilágra került 0-day sérülékenység, ami a TIFF feldolgozó hibáján keresztül ad kapásból SYSTEM hozzáférést a támadónak. Tessék azonnal telepíteni!

MS13-097: Nagyon úgy tűnik, hogy az ehavi Internet Explorer csomagban javítják James Forshaw BlueHat Prize-t érő sandbox kitörését, ami nem csak azért remek hír, mert sikerült néhány általánosan használható kiskaput bezárni, hanem mert ezek után remélhetőleg a nyilvánosság is képbe kerülhet a 100.000 dollárt érő módszerrel.

MS13-098: Egy támadó képes a digitális aláírás elrontása nélkül megváltoztatni egy PE fájl viselkedését - a szintén csodaszépnek látszó hiba természetesen a Windows össze támogatott verzióját érinti.

MS13-099: Egy use-after-free sérülékenység javítása a MS Scripting Runtime Object Library-ban. A probléma speciális tartalmakat kiszolgáló weboldalakon keresztül távoli kódfuttatást tehet lehetővé a böngésző felhasználó jogkörével.

MS13-100: Autentikált SharePoint felhasználók spéci tartalmak feltöltésével kódot futathatnak a kiszolgálón.

MS13-101: Egy sor helyi jogosultságkiterjesztésre alkalmas probléma javítása a Windows kernelben. Érdekesség, hogy egy általában távoli kódfuttatásra is alkalmas TrueType feldoglozás problémát is sikerült orvosolni - úgy tűnik, hogy ebben az esetben a hiba kihasználása trükkösebb volt az átlagnál. A csomag a jelek szerint nem tartalmazza a célzott támadások során kihasznált NDProxy.sys sérülékenység javítását.

MS13-102: Kommentben valaki elmagyarázhatná, hogy az LRPC (Local Remote Procedure Call) mi a csoda tulajdonképpen, nekem a FAQ alapján nem sikerült rájönnöm... Minden esetre egy LRPC szerver puffer túlcsordulást triggerelhet a kliensén, jogosultságkiterjesztést eredményezve. 

MS13-103: Cross-Site Scripting probléma  javítása az ASP.NET SignalR-hez

MS13-104: Egy támadó kipakolhat egy spéci Office dokumentumot egy kiszolgálóra, amit ha valaki megtekint, a támadó megszerezheti a SharePoint-hoz illetve más Office szolgáltatásokhoz hozzáférést biztosító azonosító tokent, ezzel megszemélyesítve a felahasználót a szolgátlatások felé. A Microsoft szerint a problémát célzott támadások során aktívan kihasználják.

MS13-105: Átvezettek az Exchange-be két hibajavítást az Oracle Outside-inből, melyek DoS-t illetve távoli kódfuttatást eredményezhetnek, ha az áldozat OWA-n keresztül megtekint egy speciális fájl csatolmányt - mázli, hogy a támadó alapértelmezetten csak LocalService jogokat kap. Ezen kívül, mint kiderült, az OWA-ban nem volt engedélyezve a ViewState MAC, ami távoli kódfuttatásra adhat lehetőséget a szolgáltatás kiszolgálóján. Végül pedig javításra került egy árva XSS is.

MS13-106: Ez a frissítés orvosolja a HXDS.DLL ASLR megkerülésre lehetőséget adó problémáját, melyet már legalább egy éve kihasználnak, legutóbb pedig egy szeptemberi célzott támadási hullámban került elő. 

Adobe

Az Adobe két hibát javított a Flash Playerben, ezek közül az egyiket aktívan ki is használják. Abban a szerencsés helyzetben vagyunk, hogy a hibát bejelentő Suszter Attila részletes elemzést posztolt a sérülékenységről: Ebből kiderül, hogy a most javított probléma kísértetiesen hasonlít egy Attila által korábban felfedezett hibára, melynek lényege abban állt, hogy a Flash tartalmat beágyazó alkalmazás egy másik szálon kitehette a lejátszó szűrét a memóriájából, míg a lejátszó threadje egy üzenetablakot jelenített meg gyönyörű use-after-free szituációt produkálva az üzenetablak bezárulása után. A poén az, hogy ilyen módszerrel nagyjából mindig átvehető a program futása feletti kontroll, mikor a lejátszó üzenetablakot jelenít meg (vagy más hasonló API műveletet használ), így vagy az Adobe részéről lenne szükség egy igen alapos code review-ra, vagy (és talán ez a fájdalommentesebb megoldás) a Microsoftnak (meg az Apple-nek?) kéne implementálnia valamilyen univerzális megerősítő megoldást a hasonló bakikból eredő károk minimalizálására. 

Emellett a Shockwave lejátszó is kapott egy jelenleg kevésbé fenyegető, de hasonlóan fontos hibajavítást, szóval azt a lejátszót is frissítsétek.

D-Link

A mainstream médiában is lehetett olvasni arról a D-Link hátsó ajtóról, amit a cég múlt hónap végén nagy kegyesen eltávolított a hivatalos firmware legfrissebb kiadásából. Aki lemaradt volna: megfelelő User-Agent beállításával jelszó nélkül hozzá lehetett férni az érintett eszközök menedzsment felületéhez - valamiért erről a sztoriról mindig az Internet Census 2012 ugrik be...

Drupal

Zorg, a Rettenetes hívta fel a figyelmem, hogy - feltehetően az elmúlt idők témába vágó kutatásainak hatására - a Drupalban lecserélték az mt_rand() alapú véletlengenerátorokat, melyekkel többek között a CSRF tokeneket illetve más biztonságilag kritikus funkciókat is etettek. Az új változat ezen kívül több más, kisebb nagyobb sérülékenység javítást is tartalmaz, a frissítés tehát erősen indokoltnak látszik.

VMware

A VMware javította a Player és Workstation termékek újabb főverzióiban a vmware-mount privilégiumemelésre alkalmas problémáját, melyet már többen felfedeztek. Tavis Ormandy leírását itt olvashatjátok, de úgy rémlik, hogy voltak más bugok is, de ezeket perpill nem találom :(

Friss: Firefox

A Firefox 26-ban végre bevezették az alapételmezett click-to-play-t a Java plugin-re.

A fentieken tól van új Apache 2.4 meg PHP, a vonatkozó kiadási megjegyzésekben biztonsági infót nem találtam,  a Tor Browser Bundle pedig új Firefox-t kapott.