Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Word RTF memória korrupció 0-day

2014.03.25. 09:45 | buherator | 5 komment

A Google szakértői célzott támadási kampányt detektált, melyben egy eddig ismeretlen Word sérülékenységet használnak ki a támadók. A probléma az RTF fájlok kezelését érintó memória korrupciós probléma. A most felfedezett exploit a Word 2010-es változatát célozza, de a probléma későbbi verziókban is megtalálható.

A Microsoft Fix-It-et adott ki a problémára.

Szerk: Az SRD posztja a hibáról itt olvasható valamivel több technikai részlettel.

Címkék: microsoft google word 0day fix-it

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

vmiklos · http://vmiklos.hu/blog 2014.03.25. 10:23:20

Van ehhez amúgy publikus reproducer?

Feltételezem, hogy ezeket az mscomctl valamiket egy LibreOffice RTF importer egyszerűen figyelmen kívül hagyja, de azért szívesen megnézném ha találnék hozzá inputot.

buherator · http://buhera.blog.hu 2014.03.25. 10:30:19

@vmiklos: A MS általában az Active Protections Programon keresztül terjeszti a szerződött partnereknek a triggert.

technet.microsoft.com/hu-hu/security/dn467918

Az SRD-t érdemes még figyelni, oda szoktak még infót csepegtetni:

blogs.technet.com/b/srd/

vmiklos · http://vmiklos.hu/blog 2014.03.25. 10:34:26

Ah, értem, köszi! Nem sürgős a dolog, akkor valószínűleg patch kedd után érdemes keresni.

Az SRD megvan, onnan az mscomctl infó.

domi007 2014.03.26. 11:30:46

"The “Protected View” mode in Office 2010/2013 does not allow ActiveX controls to load. This will mitigate the attack we observed."

Lehet, hogy csak engem zavar, de miért van egyáltalán lehetőség RTF fájlokba ActiveX-et embeddelni?

boldii10 2014.03.28. 20:20:41

Valójában mókás, hogy a fixit, hogy ne nyíljanak meg az RTF-ek. A másik mókás, hogy outlook esetén a preview elég volt a megfertőződéshez. A harmadik mókás, hogy ha igaz, maga a támadás viszont Visual Basic. Valószínű related: www.reuters.com/article/2014/03/28/us-media-cybercrime-idUSBREA2R0EU20140328 Journalists, media under attack from hackers: Google researchers
süti beállítások módosítása