Feltehetően muzulmán támadóknak sikerült behatolniuk egy új-zélandi domain szolgáltató, a domainz.net rendszerébe, ahol több nagy helyi domaint saját rendszereikre irányítottak át. Az áldozatok között van többek között a Microsoft MSN, MSDN, Hotmail és Live portáljai, valamint az F-Secure, a BitDefender a Sony és a Xerox is. A Zone-H értesülése szerint a támadást egy egyszerű SQL injection sebezhetőség tette lehetővé a domainszolgáltatónál.

Kissé komikus, hogy a magukat Peace Crew-nak nevező támadók a legjobb tudomásom szerint mostanában leginkább jótékonykodással foglalkozó Bill Gates ominózus tortás fotóját tették néhány "deface" oldalra, valamint a január közepén befejezett izraeli hadműveletek befejezését követelték azokon...

Nem rég találtam ezt a videót (már le sem merem írni, hogy hol):

Először is kérlek homályosítsatok fel: ez a DirectAccess most tényleg annyival tud többet egy sima VPN-nél, hogy nem kell hozzá kettőt kattintani + a szolgáltatás akkor is elindul, ha nincs bejelentkezve a júzer? 

Egyébként ajánlom figyelmetekbe a 2:41-től kezdődő részt: az, hogy a felhasználónak nem kell extra lépéseket tennie a vállalati hálózathoz történő csatlakozáshoz, egyúttal azt is jelenti, hogy az egységsugarúnak az esetek döntő többségében eszébe sem jut, hogy ő most lényegében az irodában is csücsülhetne, legalábbis a pornóoldalak kétes tartalmú oldalakon figyelő kártevők szempontjából. De egy célzott támadás során némi CSS bűvészkedés vagy clickjacking segítségével akár a Sharepoint szerver gombjait is kirakhatjuk egy flashjáték mellé.

Kérlek cáfoljatok meg!

A hét elején bejárta a hír a sajtót, hogy egy 17 éves srác, bizonyos Mickey Mooney néhány XSS sebezhetőséget kihasználva szétspammelte a Twittert. Az amúgy sem túl elegáns (hogy finoman fogalmazzak) támadást követően Mooney nekilátott felépíteni kis médiakarrierét, melynek meg is lett az eredménye: az utóbbi idők nem feltétlenül előnyös trendjét követve egy - eddig ismeretlen, de elvileg 2000 óta létező - biztonsági cég ajánlott munkát a kis spamhuszárnak.

Nos, lehet hogy nem volt jó ötlet ennyire nagy mellénnyel hírdetni a rosszcsontkodást: egy magukat /bin/sh-nak nevező társaság tagjai először Mooney Twitter fiókjából küldtek ki gyalázkodó üzeneteket, majd közzé tették az ifjú titán szerverének adatait is. A nyilvánosságra hozott információk talán legviccesebb része Mooney kis jelszómenedzsere, az allinfo.txt, amely Mickey szinte összes jelszavát titkosítatlanul tárolta. Az egyik tag állítása szerint a /bin/sh egy "régimódi" csapat, és nem szoktak ilyen módon fellépni, főleg nem egyszeri emberekkel szemben, ebben az esetben azonban Mooney arroganciája, amit egy Skype beszélgetés során tanúsított, kiverte a biztosítékot. A /bin/sh megszólaló tagja egyébként maga is immorálisnak tartja tettüket, és én sem hiszem, hogy ez lenne a legjobb megoldás a hasonló konflikutok megoldására. Sajnos azonban úgy tűnik, hogy a társadalmi normák fékező erejének hiányában manapság  hatékonyabb az íratlan feketekalapos szabályok betartatása.

Muszáj volt lenyúlnom a ZDNet cikkének címét, remélem nem haragusznak meg érte!

Szóval úgy tűnik, tanúi lehetünk az egyik(?) első, Mac OS X-re specializálódott botnet kezdeti szárnycsapásainak: A Symantec munkatársai ugyanis egy olyan trójai komponensre bukkantak az iWork '09 egyes, fájlcserélőkön elérhető kalózverzióiban, amely a felhasználó jelszavának megszerzése után kis barátaival együtt DDoS támadást képes indítani bizonyos weboldalak ellen. Eszerint a poszt szerint a kártevő PHP szkritptként fut,  és lefülelésének idején éppen egy olyan weboldalhoz kapcsolódott végtelen ciklusban, amellyel kapcsolatban később tényleg DDoS támadást jelentettek be.

Mindez valószínűtlenné teszi, hogy egy újabb gyártói próbálkozásról lenne szó a kalózmásolatok megfékezésére, inkább úgy tűnik, hogy valaki - kezdetleges eszközökkel, de az OS X felhasználók "érinthetetlenségébe" vetett bizalmát ügyesen kihasználva - igyekszik betölteni az utóbbi időkben rendesen körülrajongott Mac-ek területén keletkezett "piaci rést". Emellett szól az is, hogy úgy tűnik, a botnetet nem ugyanaz hozta létre, mint aki felhasználta.

A kártevőt (melynek eddig ismert változatainak az OSX.Iservice és OSX.Iservice.B nevet adták) felfedező kutatók egyébként kiemelték, hogy a malware felépítése igen rugalmas, így könnyen elképzelhető, hogy hamarosan újabb változatok jelennek meg a vadonban.

Szívesen venném, ha valaki, akinek van VirusBulletin előfizetése, elküldené az eredeti cikket, így talán több információval szolgálhatnék :)

Több Linux disztribútor is frissítette az udev csomagot, mivel abban helyi jogosultságkiterjesztésre alkalmas sebezhetőséget találtak. Speciális Netlink üzenetek küldésével egy bárki számára írható eszköz hozható létre a /dev alá, amely akár a gyökér particióra is mutathat.

A sebezhetőség állapotát itt követhetitek nyomon, itt pedig egy szintén udev-et érintő DoS problémáról lesz szó, ha feltöltik a CVE-t.

Exploit erre.

(A H-Security cikke alapján)

Frissítve az SRD valamint a hibák felfedezésében közreműködő biztonsági cégek linkjeivel!

A Microsoft nyula ezen a kedden - az igazi húsvétról kissé lecsúszva - nyolc frissítőtojást tojt, melyek közül öt darab veszélyesen piros, kettő gyanúsan sárga, egy pedig unalmasan zöld:

MS09-010: Az Office 2000 és XP programcsomagok Word, WordPad és dokumentumkonvertáló komponenseit érintő, kódfuttatásra lehetőséget adó, kritikus sebezhetőség. A hiba több régebbi fájlformátumba ágyazva, akár RTF, WordPerfect vagy Write dokumentumok segítségével is előhozható. iDefense tanácslat erre.

MS09-013: Távoli kódfuttatásra lehetőséget adó, integer underflow sebezhetőség a WinHTTP szolgáltatásban, Windows 2000-től kezdve egészen a Server 2008-ig bezárólag (alapértelmezett install) + egy másik bibi, ami lehetővé teszi digitális tanúsítványok hamisítását a Windows HTTP Service-t használó alkalmazások felé. Finom!

MS09-011: MJPEG fájlokon keresztül kihasználható DirectX sebezhetőség Windows XP, 2000 és 2003 rendszereken.

MS09-014: Internet Explorer gigapakk, összesen 6 darab, távoli kódfuttatást lehetővé tevő sebezhetőséggel kapcsolatos frissítéssel. A "megtűrt" IE 5-ös és 6-os verziókon kívül érintett a 7-es változat XP-s és Vistás változata is.  A hibák felfedezői úgy tűnik ingoványos területre tévedtek: 

• A csomag megoldást nyújt a "Safari szőnyegbombázásként" elhíresült, az operációsrendszer térfelén felmerült problémára, erről részletesen (ez előző linken túl) itt  és itt olvashattok.
• A foltköteg ún. WinINet Credentil Reflection sebezhetőséget javító komponense a Windows Internet API megpatkolásával besegít az MS09-013-ban emlegetett WinHTTP elleni támadások kivédésében is. Ennek a sebezhetőségnek a lényege az, hogy a sebezhető alkalmazásoktól (elsősorban az IE érintett verziói, vagy a WinHTTP-t használó alkalmazások) egy támadó NTLM azonosítást kérhet, melyet az alkalmazás teljesít, majd a támadó az így kiadott adatokat visszajátszva legitim felhasználóként azonosíthatja magát pl. a sebezhető rendszeren futó fájlmegosztó szolgáltatás felé. Erről is az SRD blogon olvashattok bővebben.

Valahogy a "Jönnek a férgek" című szám ugrik be...

MS09-009: Az Excel legtöbb elterjedt verzióját érintő sebezhetőség javítása, a probléma csak Excel 2000 esetében kapott kritikus besorolást, mivel az újabb változatoknál plusz egy kattintást igényel a potenciális exploit triggerelése. Nem mintha a felhasználók nem imádnának kattintgatni... A FortiGuard jelentése itt.

MS09-012: Két darab helyi jogosultságkiterjesztés probléma, köztük a  rég óta ismert , és kihasznált Token Kidnapping megoldása Windows 2000-2008, XP és Vista rendszereken. Ideje volt. Az SRD többek között ezt írja a frissítésről: "Ennek a problémának a kezelése igényelte a leggrandiózusabb mérnöki munkát a Microsoft biztonsági frissítéseinek történetében...Néhányan a legtapasztaltabb mérnökeink közül a Windows 7 fejlesztésének rovására dolgoztak a megoldáson.", szóval tessék megbecsülni ezt a kis csomagot!

MS09-016: Távolról kihasználható DoS sebezhetőségek az ISA Server és a Forefront TMG alkalmazásokban.

MS09-015: "Ez a biztonsági frissítés egy nyilvános sebezhetőséget old meg a Windows SearchPach függvényében, amely a jogosultságszint kiterjesztését teszi lehetővé , ha a felhasználó letölt egy speciális tartalmú fájlt egy meghatározott helyre, majd megnyit egy alkalmazást, ami bizonyos körülmények között meg tudja nyitni a fájlt". Itt is ugyanaz okozza a problémát, mint a szőnyegbombázásnál, egyébként egy kicsit sok a ha, ezért lett ez a zöld tojás.

trey@HUP

Amikor az OpenBSD csomagszűrője, a pf egy bizonyos speciálisan összeállított IP datagramm feldolgozását végzi, null pointer dereference jelentkezik, amely a kernel összeomlásához vezet. Bizonyos konfigurációk esetén a problémát előidézheti távoli támadó. A bejelentés itt olvasható. A problémára az OpenBSD projekt patch-eket adott ki:

[ OpenBSD 4.3 | OpenBSD 4.4 | OpenBSD 4.5 ]

A hír jól kapcsolódik az előző poszthoz abban a tekintetben, hogy ezek a foltok is "megbízhatósági javításként" kerültek kiadásra, holott a távoli DoS lehetőségén kívül NULL pointer dereferenciáról lévén szó ha kis valószínűséggel is, de felmerül a távoli kódfuttatás lehetősége. 

A probléma egyébként pl. IPv4-be ágyazott ICMPv6 csomagok segítségével használható ki (amennyiben a célponton nincs engedélyezve az IPv6 támogatás), részletesebb elemzést a problémáról itt olvashattok.

eax@HUP

A nemrég kiadott 2.6.29.1-es linux kernelben Felix von Leitner egy érdekes commit-ot talált.

A CIFS kliens kódjában található, szerényen csak "memory overwrite fix"-ként emlegetett változtatás egy potenciálisan távolról, ring0 kódfuttatásra kihasználható biztonsági hibát javít.
A hibás kódrészlet már a git-ben megtalálható legelső verzióban, a 2.6.12-rc2-ben is jelen van, így az érintett felhasználók köre meglehetősen széles lehet.

Workaround-ként érdemes egy időre felhagyni a CIFS share-ek használatával, mivel úgy tűnik, hogy a javítás is javításra szorul.

A full-disclosure listán jó kis flame alakult ki az elsunnyogási kísérlettel kapcsolatban, néhányan egyenesen a Microsoft 2002-es állapotait vélik felfedezni a Linus Torvarlds által kinyilatkoztatott "nyilvánosságrahozatali politikában": Ennek lényege nagyjából annyi, hogy a biztonsági javítások is csak egyszerű javítások, melyeket a lehető leggyorsabban ki kell adni, ezért nincs idő mindenféle előzetes bejelentgetésekre, miután pedig a hiba javításra került, már nincs is miről beszélni...

Ezzel kapcsolatban nem tudom kihagyni, hogy belinkeljem ezt a prezentációt (thx dnet), melyet Crispin Cowan adott elő a tavalyi Smoocon-on. Crispin fejlesztette többek között a linuxos AppArmor biztonsági szoftvert, most pedig a Microsoft alapvető biztonsági megoldásaiért felelős részlegén dolgozik. Ebben az előadásban (melyet ezen a videón is megtekinthettek) arról beszél, hogy milyen pozitív és negatív tapasztalatai vannak azok után, hogy betekintést nyert mind a nyílt-forrású közösség, mind a Microsoft biztonsággal foglalkozó berkeibe. Tanulságos olvasmány - főleg ha elvonatkoztatunk a Jeff Jones-féle hibastatisztikáktól :P

Kis lemaradásban vagyok a világ eseményeihez képest, de dacolva a húsvéti evészetek és ivászatok örömeivel, igyekszem behozni magam, stay tuned...

Egy héttel a legutóbbi biztonsági közlemény után a VMware újabb értesítőt volt kénytelen kiadni, melyben több terméküket érintő kritikus hibáról számolnak be: A vitruális gépek megjelenítéséért felelős programrész hibája lehetőséget ad arra, hogy a vendég rendszerek kódot futtassanak a hostjukon. Az érintett rendszerek listája, és információ a telepítenő javításokról itt található.

Megin' a zindex (no meg a Wall Streat Journal, de még mindig nem kötelező mindent kérdés nélkül átvenni):

Kínai, orosz és más országokból származó hackerek hatoltak be az Egyesült Államok elektromos hálózatának számítógépes irányítási rendszerébe, olyan kártékony programokat helyezve ott el, amelyek súlyos zavarokat kelthetnek a rendszerben, közölte szerdán a The Wall Street Journal internetes kiadása.

A kiberkémek nem próbáltak meg kárt okozni, de az újság által idézett jelenlegi és volt nemzetbiztonsági szakértők szerint erre kísérletet tehetnek egy válság vagy háború idején.

Nos, más, nevüket felvállaló biztonsági szakértők szerint az egész hír lufi, és minden bizonnyal arra megy ki a játék, hogy egy kis pánikkeltéssel több pénzt csikarjanak ki a helyi titkosszolgálatok számára. A cikk alapjául szolgáló jelentés ugyanis gyakorlatilag semmilyen konkrétumot nem tartalmaz, pánikkeltő frázisokat viszont annál inkább, szóval jó, ha legalábbis némi egészséges szkepticizmussal fogadjuk ezt és az ehhez hasonló híreket.

A nívósabb források:

• Bruce Schneier blogbejegyzése itt
• A Wired cikke itt
• Az Errata Securitytől pedig Rober Graham nyilatkozik itt

Az interjú második része, ismét Alan Dang kérdez, a maga jellegzetes stílusában :)

Több súlyos hibát is felfedeztek a széleskörűen használt MIT-s Kerberos implementációban. A SPNEGO GSS-API-ban található egyik hiba érvénytelen memóriacímről történő olvasást, a másik pedig NULL pointer dereferenciát okoz, ezeket lépéseket összeomlással jutalmazza az SPNEGO GSS-API-t használó alkalmazás illetve maga a KDC. Az első esetben némi információszivárgásra is van esély, a másodikról pedig részletesebb elemzést találtok itt.

Egy további probléma az ASN.1 formátumúő üzenetek feldolgozásában szintén elsősorban karambolt, de elméletileg akár illetéktelen kódfuttatást is eredményezhet (bár ennek a kihasználhatósága az MIT-sek szerint igen alacsony). [Megjegyzés: véletlen netán a hasonlóság az itt leírt OpenSSL problémával?]

A sebezhetőségek az 1.5-ös verziótól vannak jelen, és a következő kiadásban javításra kerülnek, addig is elérhetők a megfelelő foltok a fenti linkeken.

A Tom's Hardware interjút készített Charlie Miller egyik társával, Dino A. Dai Zovi-al. Az interjú első részét alant olvashatjátok:

A napokban Thierry Zoller több, antivírus termékeket érintő probléma hívta fel (újra) a figyelmet:

A ClamAV például rávehető, hogy ne tekintsen bele bizonyos RAT archívumok tartalmába bizonyos speciális TAR fájlok feldolgozásakor pedig végtelen ciklusba kerül a szoftver. A --detect-broken kapcsoló alkalmazása pedig egyes binárisok ellenőrzésekor nullával osztást eredményez. A javítások elérhetők a 0.95-ös verzióban.

Zoller jelentései között szerepel ezeken kívül egy négy éve ismert, elsősorban a szerver oldali megoldásokat érintő F-Prot probléma is, amely azt eredményezi, hogy a víruskereső figyelmen kívül hagyja azokat a ZIP archívumokat, melyeknek fejlécében a Method mező értékét 15-re állítják.

A kutató harmadik célpontja az IBM Proventia volt, melyben RAR archívumok segítségével szintén sikerült elérni a tömörített fájlok ellenőrzésének elmulasztását. A Nagy Kék egyelőre vizsgálja a problémát, Zoller két hetet adott nekik a PoC nyilvánosságrahozataláig.

A szakértő minden esetben megjegyzi, hogy bár gyakori érv a frissítések elmulasztására, hogy a fenti elkerülő módszerek ellenére a felhasználó által történő kicsomagoláskor az archívumok tartalma újra ellenőrzésre kerül, érdemes belegondolni, hogy ezzel gyakorlatilag feleslegessé válik az átjáró szintű vírusvédelem, hiszen az úgyis megkerülhető.

A VMware biztonsági figyelmeztetéseket adott ki ESX, ESXi, ACE, Server, Workstation és Player termékeihez:

• CVE-2008-4916: A guest rendszerek egyik vitruális eszközmeghajtójukon (vitruáliseszköz-meghajtójukon?) keresztül képesek lefagyasztani a host rendszert.
• CVE-2009-1146, CVE-2008-3761: Helyi DoS probléma a hcmon.sys-ben, Windows host rendszereken.
• CVE-2009-1147: Jogosultságkiterjesztés Windows hoston vagy guesten a Virtual Machine Communication Interface-en keresztül. Bővebb információ erre.
• CVE-2009-0909, CVE-2009-0910: Két heap overflow sebezhetőség a munkamenetek felvételére és visszajátszására szolgáló VNnc kodekben. A sebezhetőség kihasználható azáltal, hogy a sebezhető rendszer felhasználója egy speciális videót vagy weboldalt tekint meg.  Bővebb infó a Zero Day Initiative-nél lesz megtalálható, várhatóan a közeli jövőben.
• CVE-2009-0908: Az ACE megosztott könyvtárait érintő sebezhetőség, amely lehetővé teszi, hogy egy előzőleg engedélyezett majd letiltott megosztott könyvtárat egy nem-adminisztrátor felhasználó újra engedélyezzen és hozzáférjen annak tartalmához.
  
• CVE-2009-0177: Távoli DoS sebezhetőség Windows hostokon a távoli autentikációt bonyolító vmware-authd.exe-ben
  
• CVE-2009-0518: A VMware Infrastructure Client egy Virtual Centerhez történő kapcsolódás után a kapcsolódáshoz használt jelszót a kliens memóriájában tartja.

Az érintett rendszerek listája valamit javítási információk a közleményben.

A Microsoft ma hajnali közleményében arra figyelmeztet, hogy egy eddig ismeretlen PowerPoint sebezhetőséget kihasználó kártevőt azonosítottak a világháló dzsungelében. A hibát a prezentációkészítő régebbi, bináris fájlformátum feldolgozójában találták, és úgy tűnik, hogy csak a régebbi verziójú, 2000-es, 2002-es és 2003-as (ill. a 2004-es Mac-es) Office változatok érintettek. A gyártó a hiba kijavításáig a régi formátumú fájlok megnyitásának mellőzését (na persze...) vagy a MOICE sandbox felhúzását javasolja (ez utóbbi az érintett rendszerek közül a 2003-as csomaghoz érhető el).

A ZDNet értelmezése szerint a Microsoft arra utal a biztonsági figyelmeztetésben, hogy a hibát elsősorban célzottan, nagyvállalatok és kormányhivatalok ellenében igyekeznek kihasználni, de valószínűleg nem kell sokat várni az egyszeri felhasználók ellen idított hadjáratok megindulására sem.

• A Hacking at Random kedvezményes elővételi lehetőségét kitolták Április 14-ig, így még két héten át 155 EUR-os áron lehet hozzájutni a jegyekhez
• Megkezdődött az előadók jelentkezése a londoni EuSecWest  konferenciára. A határidő szoros: Április 7-ig kell nevezni az előadás absztraktokkal. A konferenciát május végén tartják.  A honlap már órák óta nem elérhető, az előadás szinopszisát, és rövid szakmai életrajzot, valamint bibliográfiát a secwest09 kukac eusecwest komra tessék küldeni!

Annak ellenére, hogy a múltkori, a Pirate Bay elleni per által inspirált deface után a TPB képviselői világossá tették, hogy nem tartják jó ötletnek az ilyen jellegű aktivizmust, tegnap a TPB ügyében eljáró egyik nyomozóhoz köthető személyes adatok kerültek fel a trackerre. Jim Keyzer először akkor került a P2P közösség figyelmének középpontjába, amikor még a kalózokkal szembeni nyomozás befejezése előtt elszegődött a Warnerhez. A most nyilvánosságra került anyagok tartalmazzák a nyomozó néhány jelszavát, valamint jópár dokumentumot, melyek valószínűleg Keyzer barátnőjének e-mail fiókjából származnak, és egy új ház terveit tartalmazzák. A torrenthez tartozó leírásban a feltöltő felteszi a költői kérdést, hogy vajon honnan van az a pénz, amiből az új kéró épül?

via TorrentFreak

A holnapi Conficker parát a malware gyárosok ugyanúgy kihasználják, mint bármely más nemzetközi felhajtást eredményező eseményt: a Google-t valószínűleg még most is aktívan spammelik különböző kamu vírusírtók és azonnali fertőzést garantáló oldalak linkjeivel. A ZDNet beszámolója szerint pl. egy ideig az "nmap conficker" kifejezésre az első találat egy drive-by exploitokat kiszolgáló weboldal volt. Eközben a valódi információforrások (pl. ez, a veszélyes domaineket gyűjtő lista) sokszor nehezen vagy egyáltalán nem elérhetőek, bár valószínűleg nem egy már megkezdett DDoS támadás, inkább az utolsó pillanatokban fokozódó érdeklődés (pánikhangulat?) miatt. 

Vigyázzatok mire kattintotok!

November közepén kerül megrendezésre Bécsben a harmadik DeepSec IT-biztonsági konferencia, melyre megkezdődött az előadástémák összegyűjtése. A javaslatokat július 15-ig várják. További részletek a közleményben.

Reméljük hamarosan sikerül egy rendes SSL tanúsítványt is beszerezni a weboldalhoz... 

Tillman Werner és Felix Leder, a Honeynet Project munkatársai, több neves biztonsági szakértővel együtműködve egy olyan módszert dolgozott ki, melynek segítségével távolról detektálható, hogy egy számítógépet megfertőzött-e a Conficker féreg.

Az utóbbi idők legsikeresebb kártevője az elemzések szerint Április első napján kezd majd el frissítések után kutatni.  Ennek hatásáról egyelőre csak találgatások vannak, és bár valószínűtlen, hogy valamiféle globális katasztrófa lenne készülőben, minden esetre aggodalomra ad okot, hogy a több millió Confickerrel fertőzött zombi holnap hirtelen "felébred".

A jó hír az, hogy holnapig még van idő a cselekvésre: a féreg ugyanis miután sikeresen bejutott egy számítógépre, megpróbálja betömni a rést amin bemászott (MS08-067), ezt azonban kicsit másként teszi meg mint a hivatalos frissítés, így távolról "lekérdezhetővé" válik, hogy egy hálózat mely gépei érintettek a fertőzésben. Az erre szolgáló eszköz prototípusa letölthető innen (Python) vagy innen (EXE), de az nmap legújabb buildjéhez valamint a Nessus ingyenes változatához és még egy sor fizetős hálózati szkennerhez is hozzácsapták a detektáló rutinokat.

Persze jó lesz sietni: a rosszfiúk sem lustálkodnak, ezért ez a lehetőség várhatóan rövid időn belül meg fog szűnni!

A Netacabemia idén május 7-én rendezi meg az Ethical Hacking konferenciát, melyre már csak a rendezvény tematikája miatt is szeretném felhívni a figyelmet.

Másrészt azok számára,

• akiket esetleg nem enged el a főnök egy egész napos fejtágításra
• akiket elenged, de a konferencián összegyűjtött irdatlan feszültséget szeretnék egy kötetlen, ugyanakkor szakmai környezetben levezetni
• akik szeretnék kicsit jobban megismerni a "másik oldalt" - értve ezalatt akár a nyakkendős akár a napszemcsós-kapucnis társaságot

a BuheraBlog megszervezi az első Etikus Sörözés sörözést, előreláthatólag valamelyik közel eső kocsmában, délutáni kezdéssel, ügyelve a programütközés elkerülésére. A részvételi díj 1 sör/bor/fröccs/üdítő ára, amely helyben lefogyasztandó. Részvételi szándékukról kérjük, az oldalt található szavazódobozban nyilatkozzanak!

trey@HUP:

Ahogy arról már csütörtökön szó volt, a Mozilla Firefox böngészőben kritikus biztonsági sebezhetőséget fedeztek fel. A Mozilla jelezte, hogy a problémára azonnal reagál és rövid időn belül javítást tesz közzé a 3.0.8-as verzió képében. A javítás az eredeti ütemterv szerint március 30-án vagy április 1-én érkezett volna, de ehelyett már tegnap elérhetővé tette a vállalat.

A 3.0.8-as kiadást a felhasználók letölthetik a getfirefox.com weboldalról, illetve ellenőrizhetik, hogy a disztribúciójuk elkezdte-e a terjesztését. A Linux disztribútorok megkezdték a terjesztését - például az Ubuntu szállítja, e cikk már 3.0.8 alatt íródott.

A Mozilla erősen ajánlja, hogy minden felhasználó a lehető legrövidebb időn belül frissítsen erre a kiadásra. A Firefox 3-at futtatók 24-48 órán belül automatizált értesítést kapnak arról, hogy frissítés áll rendelkezésre. Az ellenőrzés természetesen végrehajtható manuálisan is a "Check for Updates…"-t választva a "Help" menüben.

A javítás a fent említett 0day-en kívül a Nils által jelzett, Pwn2Own-on bevetett hibát is orvosolja. Mint a közleményből kiderül, a díjnyertes sebezhetőség a XUL tree konténerének _moveToEdgeShift metódusában volt megtalálható, és egy rossz időben hívott szemétgyűjtéssel lehetett előidézni, melynek során a böngésző egyes esetekben olyan objektumokhoz próbált hozzáférni, melyek már felszabadításra kerültek.

A másik, Guido Landi által felfedezett, most javított problémáról itt már írtam.

Bezlapat küldte:

http://iwiw.hu/pages/misc/faq.jsp?q=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Némi obfuszkációval fűszerezve jó szolgáltatot tehetne az adathalászooknak

Ez egy ilyen bugos nap, én viszont kezdek kimúlni, szóval csak röviden, tömören:

Kijött egy hibajavító csomag az OpenSSL-hez, ezeket a problémákat lehet vele gyógyítgatni (a foltozatlan verziókon pedig esetleg kihasználni):

• ASN.1 struktúrák kiírásakor a szoftver néha olyan memóriaterületről próbál olvasni, ahonnan nem lenne neki szabad, ezért elszálldos, legyen szó akár kliensről vagy szerverről.
• Azokon a rendszereken, ahol fennáll, hogy sizeof(long) < sizeof(void *) (pl. WIN64) speciális ASN.1 üzenetekkel szintén meg lehet fektetni a klienst, a szervert, vagy a függvénykönyvtárat használó alkalmazásokat.
• A Cryptographic Message Syntax-ot használó üzenetek ellenőrzésébe is hiba csúszott, melyet kihasználva olyan aláírások generálhatók, melyek később letagadhatóvá válnak, de ez szerencsére csak viszonylag szűk felhasználói réteget érint.