Microsoft

Az év első javítócsomagja a Microsoft részéről elég lazára sikerült.

MS14-001: Három hibajavítás (úgy tűnik kezd kimerülni a Google aktuális bugbányája) a Word windowsos illetve weben működő változataihoz. A sérülékenységek kódfuttatást tesznek lehetővé memóriakorrupción keresztül, amennyiben a felhasználó egy speciális dokumentumot nyit meg.

MS14-002: Az NDProxy kernel driver sérülékenysége privilégiumemelést tehet lehetővé Windows 2003-on és XP-n

MS14-003: Szintén jogosultságkiterjesztésre alkalmas probléma javítása a jó öreg win32k.sys-ben.

MS14-004: DoS-t előidéző probléma javítása a Dynamics AX-hoz.

Adobe

Az Adobe-nál a Flash Playerben két, a PDF kezelő alkalmazásokban három kódfuttatásra alkalmas problémát orvosoltak. Rossz hír, hogy úgy tűnik, az egyik, Suszter Attila által korábban bejelentett sérülékenységet mégsem sikerült tökéletesen javítani, így a CVE-2013-5332 jelű probléma továbbra is kihasználható marad. 

FFmpeg

Szerencsére a Google-nél nem egy fuzz-farm dolgozik, Gynvael Coldwind és j00ru közös blogposztjából pedig betekintést nyerhetünk, hogy hogyan sikerült nagyjából 2 év alatt több mint ezer (!) potenciális biztonsági hibát kigyomlálni a számos népszerű szoftverben (pl. a Google Chrome-ban és a VLC-ben is) felhasznált könyvtárból. 

Érdemes belegondolni, hogy a nyílt forrású, de komplex formátumfeldolgozást végző és igen elterjedt FFmpeg valóban megátólértetődő célpont, és gyakorlatilag teljesen buta fuzzing módszerekkel, "mindössze" 2000 magot bevetve olyan látvány tárul az ember szeme elé, mintha sörétes puskával lőttek volna a forráskódra. Ezek alapján vajon a "kevésbe együttműködő" szervezeteknél hány 0-day lehet még raktáron?

evasi0n

A sok kritikával illetett evad3rs csapatra újabb össztűz zúdul, miután @winocm felfedezte, hogy a csapat jailbreakjével ellátott telefonokon egy app egy egyszerű rendszerhívással tetszőleges helyre ugrathatja a program számlálót kernel módban, ami elég kényelmes utat teremt pl. a sandboxing kijátszására. Az evad3rs a problémát a JB 1.0.4-es változatában javította.

Cisco

A hálózati óriás múlt héten adott ki frissítést több termékéhez, mellyel egy dokumentálatlan teszt interfészt  csuktak be. A felület autentikációt nem igényelt, ellenben instant rootot adott a hozzá csatlakozó klienseknek. Külön pikáns, hogy az érintett termékek között a gyártó N-es Access Point-jai mellett ún. "Security Routerek" is szerepelnek. Félelmetes, hogy 2014-ben még ilyen csontvázak esnek ki a szekrényből...

Oracle

Ebben a hónapban az Oracle jelentkezett a legnagyobb csomaggal, a gyártó különböző termékeiben több mint 130 sérülékenységet orvosoltak. A legnagyobb foltot nem meglepő módon a Java kapta, mellyel kapcsolatban szerver alkalmazásokat is érintő, CVSS 10.0-ás sérülékenységeket is találunk, a 7-es főverzióban bevezetett biztonsági figyelmeztetők illetve beépített click-to-play lehetőség kijátszására alkalmat adó probléma viszont úgy tűnik nem került elő, így a kliensek terén nagyjából higgadtak maradhatunk (a frissítést emellett természetesen javasolt megejteni amint lehet).