Az ehavi célzott malware Kaspersky-éknél az MMORPG-ben utazó játékgyártókat célzó Winnti. A kártevő felfedezése egy véletlennek köszönhető: a biztonsági cégek még 2011-ben figyeltek fel egy nagy számú online játékost érintő támadássorozatra, melynek forrássa a játékgyártó frissítőszervere volt. A gyártónál történő nyomozás felderítette, hogy a játékosoknál detektált kódok feltehetően nem szándékosan kerültek a frissítő kiszolgálókra (64-bites binárist terjesztettek a 32-biten futó felhasználóknak is, a kártevők pedig nem aktiválódtak automatikusan) - bár többmillió felhasználó lefertőzése kétségtelenül vonzó potenciális lehetőség lehet.

A támadás valódi célja vélhetően inkább ipari kémkedés, illetve érvényes digitális tanúsítványok megszerzése lehetett - utóbbiak igen jó szolgálatot tehetnek más támadások erősítéséhez. A támadás a már megszokott (?) célzott adathalászat+trójai sémára épült, a szálak pedig újfent Kínába vezetnek. 

+++

Technikai szempontból sokkal érdekesebb a malware.lu és az itrust közös kutatása, melyben a híres Mandiant jelentés tárgyát képző APT1 csoportot gyakorlatilag visszahackelték a luxemburgi malware vadászok. Ehhez először is egy, a támadások során használt, publikusan is elérhető Poison Ivy RAT-t érintő sérülékenységet használtak ki, miután sikerült kipörgetniük a C&C jelszavát. Erre az incidensre azonban az üzemeltetők a szokatlan hálózati kapcsolatok alapján felfigyeltek, így a későbbi információszerzéshez egy speciális shellkódot kellett használni, ami a Poison Ivy által használt socketet lecserélte egy bind shellre, így a kommunikáció az eredeti proxyn keresztül folyhatott tovább. 

A Poison Ivy szerverek vizsgálata a korábbiakban nem látott részletességű képet rajzolt az APT1 működéséről, részletesen bemutatva a támadó infrastruktúrát, az áldozatokat, a tőlük gyűjtött információkat, valamint a felhasznált eszközöket is. A támadók célpontonként dedikált C&C-Proxy szerver párokat használtak, és néhány esetben kifejezetten a "kliensre" szabott távoli elérést biztosító szoftvereket készítettek. A begyűjtött információk a bevett intézmények hálózatainak mélyéről származnak, a hálózati szeparáció tehát nem állta útját a behatolóknak. Nem meglepő, hogy a Poison Ivy szervereken ismét kínai nyelvű Windows-ok futottak...

Az ellentámadás azonban itt nem állt meg: az egyik egyedi fejlesztésű, Terminatorként hivatkozott trójaiban sikerült ugyanis egy távoli kódfuttatásra alkalmas puffer túlcsordulást felfedezni, így a luxemburgiak végigpásztázták pár IP tartományt, és az általuk csak "Judgement Day"-nek keresztelt exploittal befoglalták a vezérlő szervereket is - ezek tartalmáról azonban a tanulmány már nem tesz érdemi említést.

Az említett scannerek és exploitok megtalálhatók a linkelt tanulmányban, aki elég bátor, elkezdheti hackelni a kínaiak gépeit :) 

Microsoft

MS13-028: Az ehavi Internet Explorer frissítés a BlueHat Prize-ról is ismert Ivan Fratric és Ben Hawkes által felfedezett két use-after-free sérülékenységet orvosolja a böngésző összes támogatott verziójában. 

MS13-029: Speciális weboldalakon keresztül felhasználói kódvégrehajtás érhető el a Remote Desktop Client 8.0-ánál régebbi változatainak hibáját kihasználva. A távogatott Windows veriók közül a probléma a 7 SP1-et illetve a 2003 SP2 Itaniumra szánt változatait valamint a 2008 Server Core-okat nem érinti, a többit igen.

MS13-030: A SharePoint nem megfelelően autorizál bizonyos listaelemekhez történő hozzáférést, ami információszivárgást tehet lehetővé.

MS13-031: Két versenyhelyzet probléma javítása a Windows kernelben, melyek jogosultságkiterjesztést tehetnek lehetővé autentikált támadók számára. A felfedező j00ru munkáit itt érdemes böngészni.

MS13-032: Egy speciális kéréssel lelőhető az LDAP szolgáltatás Windows szervereken - ez nem hangzik tól jól...

MS13-033: Windows 2003 helyik privilégiumemelés érhető el a CSRSS hibáján keresztül. XP-n, Vistán és Server 2008-on a probléma kihasználása szolgáltatásmegtagadáshoz vezethet.

MS13-034: A Windows 8-hoz járó MS Antimalware az útvonalak helytelen feldolgozásából adódóan (bármit is jelentsen ez) helyi jogosultságkiterjesztést tehet lehetővé.

MS13-035: A SharePoint, a Groove, az InfoPath és az Office Web Apps HTML szűrője nem működik tökéletesen, így mindenféle gonosz kliens-oldali kódok jeleníthetők meg, Cross-Site Scriptingre adva lehetőséget.

MS13-036: Két versenyhelyzet és egy font-feldolgozási hiba javítása a win32k.sys-ben előbbiek helyi jogosultságkiterjesztésre, utóbbi távoli szolgáltatásmegtagadásra használható ki (tehát a böngészőből SYSTEM-be játék most nem működik)

Ezúton is felhívnám a figyelmet, hogy a Windows XP támogatása 1 éven belül lejár - tessék frissíteni a rendszereket modernebb operációsrendszer változatokra! 

Adobe

Az Adobe frissítette a Shockwave, a Flash és a ColdFusion termékeket is. A javítások közül említésre méltó, hogy foltozásra került a VUPEN által Pwn2Own-on jelentett egyik hiba, valamint hogy a ColdFusion egyik javított sérülékenysége lehetővé teszi autentikált felhasználók megszemélyesítését, a másik pedig autentikált felhasználók számára elérhetővé teszi az adminisztrátori konzolt (ha emlékeztek, az NVD-t is ColdFusion-ön keresztül 0wnolták).

Ezúttal is számos újonnan felfedezett biztonsági rés bemutatásával jelentkezik az idei Ethical Hacking konferencia. A május 9-én megrendezendő eseményen lesz többek közt célzott támadás iOS eszközök ellen, megvizsgálják a felhő alapú antivírus szolgáltatások biztonságosságát, illetve egy képzelt, de valóság inspirálta számítógépes incidens meglepő kivizsgálására is sor kerül.

A konferencia honlapja az előadások beharangozóival a szokásos címen elérhető, a legfontosabb paraméterek (helyszínváltozás!):

A konferencia időpontja: 2013. május. 9., csütörtök
Időtartam: 9:00-17:00 + bónuszfilm
Helyszín: Lurdy Mozi (Lurdy Ház, 1097 Budapest, Könyves Kálmán körút 12-14.)
Részvételi díj: magánszemélyek részére bruttó 20 000 Ft, cégeknek 25 000 Ft + áfa

A konferencia után immár hagyományosan elmegyünk sörözni egyet, ennek megfelelően szervezzétek az aznapi, és nem utolsó sorban a másnapi programjaitokat ;) Részletek később.

Szerk: A magánszemélyeknek szóló ár olcsósítva lett

Az árfolyam esésére spekulálva DDoS-olják a legnagyobb Bitcoin váltó Mt.Gox-t. A kriptovaluta árfolyama a héten elérte a 142 dollárt, de 117-re esett vissza szerdán, így aki a csúcson eladott, most pedig vesz - az árfolyam visszaerősödése esetén - szépet kaszálhat. 

Az Mt.Gox közleményében azt írja, hogy bár rendelkeznek valamifajta DoS védelemmel, nem sokat tudnak tenni az ilyen jellegű támadások ellen, de kisebb finomhangolásokkal próbálják minimalizálni a károkat. Az egyik ilyen optimalizáció a kereskedési motor leválasztása az internetről - jó kérdés, hogy ez miért csak most történik meg...

A visszaeséshez ezen túl minden bizonnyal hozzájárult, hogy illetéktelenek fértek hozzá az Instawallet adabázisához, melynek következtében a szolgáltatás határozatlan időre leállt. A felhasználóknak egyénileg kell igényelniük a szolgáltatásban tartott tárcáikat.

Friss (ápr5. 16:08): Ez sem tűnik kifejezetten jónak...

Lazán kapcsolódó hír, hogy támadás érte a magát csak a világ legnagyobb online könyvtáraként emlegető Sribd szolgáltatást. A hivatalos közlemények szerint a támadók a regisztrált felhasználók mintegy 1%-ának jelszavához férhettek hozzá - az érintettek e-mailt kaptak, melyben jelszóváltoztatásra szólítják fel őket (illetve az egyes fiókok státuszáról itt is lehet érdeklődni). A szolgáltató hangsúlyozza, hogy a jelszavakat hash-elvel és salttal tárolja, valamint hogy az eset kapcsán részletes biztonsági ellenőrzést hajt végre rendszerein a most felfedezett hibák javításán túlmenően.

A CrySys labor idén is csapatot szervezett a 2013-as iCTF versenyre, ami a Santa Barbarai Egyetem éves Capture the Flag játéka. A kihívásból én is kivettem a részem, az alábbiakban a Pesticides pálya (vélt) megoldása következik (nem mindenre emlékszem 100%-ig az esetleges pontatlanságokért előre is elnézést).

A héten a jóképességű szenzációhajhászok újra kísérletet tettek az Internet egyszerű népének összezavarására, feltehetően orosz alvilági csoportok ugyanis egészen 300Gbps-ig tornászták a botnetük kimenetét a Spamhausra célozva. 

Mi történt?

A SANS ISC remek cikket tett közzé témában, eszerint a támadás gyakorlatilag egy DNS-erősíítéses DoS volt: A DNS kiszolgálók a hatékonyság kedvéért általában UDP-n kérdezhetők, így kézfogás-protokoll hiányában az üzenetek küldői könnyedén hamisíthatók. Vegyünk egy rakat DNS szervert, ami nagyobb méretű üzenettel válaszol, mint amit kérdeztünk tőle, és hamisítsuk a kéréseink forráscímét az áldozatéra! Így jó esetben 50-szer annyi adatot is az áldozat nyakára küldhetünk, mint a mi teljes kimeneti sávszélességünk - jelen esetben a 300G-s kimenethez a becslések szerint 3-10G-s kimenő sávra volt szükség, ami nem kevés, de nem is rendkívüli.

Leleassult A Zinternet?

Nos, egyes biztonsági termékeket árusító cégek, illetve a támadást elszenvedő CloudFlare ezt állítják, más bizonyítékot azonban egyelőre nem látunk. Több internetszolgáltató cáfolta a hírt, a rendes átmenő forgalomhoz képest ennek a támadásnak a hatása eltörpült. Az egyiptomi tenger-alatti kábelek (gumicsont grammar naziknak) viszont tényleg okozhattak problémákat.

Egy ilyen támadás "akár egy kormányzati rendszert is térdre kényszeríthetett volna"?

Halkan elmondom, hogy jónéhány kormányzati, banki és egyéb kritikus szolgáltatás egy ADSL-nek megfelelő sávszélességgel lelőhető - ezért bírnak Nevenincsék elérni néha valamilyen érzékelhető eredményt. 

WikiLeaks?!

John C. Dvoraknak lövése sincs miről beszél, éppen ezért elég szórakoztató ez a cikk.

Szerk.: Ezt az írást nyomatékosan ajánlanám minden (tech) újságíró figyelmébe!

Rég volt szó minden online tranzakciók védőszentjéről, a TLS-ről, pedig történt pár dolog az elmúlt hónapokban - ezer bocs, mostanában viszonylag kevés időm/energiám van kriptó pépöröket értelmezni.

Mindenek előtt egy kis múltidézés: Kb. másfél éve jött ki Rizzo-Duong páros a BEAST támadással, ami lényegében egy padding oracle stílusú (CBC módban működő blokktitkosítókat érintő), választott nyílt szöveg alapú támadás. Egy évvel később a duó bemutatta a CRIME-ot, ami a kommunikáció optimalizálására használt tömörítés tulajdonságait alapul véve következtetett a nyílt szöveg részeire, szintén blokktitkosítók esetében. 

Aztán jött a Lucky 13, ami a BEAST-hez hasonlóan padding oracle-t használ, de ezúttal egy idő-alapú side-chanellen figyeli meg, hogy egy adott padding az adott üzenethez helyes-e. 

A három probléma eddig egy csapásra megoldható volt az RC4 folyamtitkosító használatával (amire több nagy szolgáltató az eredmények hatására át is állt), melyről ugyan eddig már sok rosszatt hallottunk pl. a WEP kapcsán, de úgy tűnt, hogy a TLS-hez még jól használható (de a datagram alapú, szintén érintett DTLS-hez már nem...).

A Lucky 13-t is publikáló kutatócsoport aztán kissé megkavarta a dolgokat, miután nem rég felefedezték, hogy az RC4-et használó TLS folyamokba is bele lehet hallgatni a BEAST-ével nagyjából azonos támadói modell mellett, az algoritmus által generált kulcsfolyam bizonyos részei ugyanis nagy számú üzenet esetén megjósolhatók a kriptoszöveg alapján. 

A kriptográfusok az eredmények láttán temetik az RC4-et - előrejelzésük szerint a támadás jelenlegi formájának kivitelezéséhez szükséges több tízmilliós üzenetszám jelentősen csökkenni fog -, és a blokktitkosítókra történő visszaállásra buzdítanak, hiszen kliens oldalon az Apple kivételével minden böngészőgyártó implementálta a BEAST és Lucky 13 elleni védelmi megoldásokat, a CRIME pedig a kérések tömörítésének megtiltásával hatástalanítható.

Sajnos azonban az RC4 támadással párhuzamosan a CRIME-ot is továbbfejlesztették: az új, TIME-nak keresztelt támadás a kérések helyett a válaszok tömörítését, pontosabban a tömörítés idejét figyeli, így megkerülve a CRIME-ra bevezetett védelmeket és egy gyengébb támadói modellben  valósítva meg nyílt-szöveg visszaállítást.

Jogos kérdésként merül fel, hogy akkor most mi legyen?

Mindenek előtt jegyezzük meg, hogy a fenti támadások egyike sem jelent tényleges, gyakorlati veszélyt az általános TLS forgalom számára: a titkosítás sikeres feloldásához a támadónak amellett, hogy általában man-in-the-middle pozícóba kell kerülnie, az eszközeit speciálisan a szerver-alkalmazásra kell hangolnia, miután bősz imádkozásba kezdhet az alacsony hálózati késleltetésingadozásért és hogy a felhasználó ne zárja be a böngészőt a megfelelő csomagszám kiküldése előtt - és akkor még mindig nem kezdett semmit mondjuk az esetleges kétfaktoros autentikációval. Ennél néhány nagyságrenddel egyszerűbb befertőzni a célpontot valamilyen malware-rel. 

A kutatások azt azonban egyértelműen jelzik, hogy a TLS-el komoly problémák vannak, melyekkel mihamarabb kezdeni kell valamit. Az új támadások miatt az RC4-et érdemes hanyagolni (bár ne lepődjünk meg, ha teljesítmény okok miatt nagy helyeken még találkozunk vele), a TIME-ra pedig elkerülő megoldást adhatnak a böngészőgyártók az XmlHttpRequestek implementációjának módosításával (pl. véletlen késleltetés bevezetése), így végső soron a TLS 1.0 és 1.1 CBC módú blokktitkosítóival is elkaristolhatunk még egy darabig. A TLS 1.2 támogatás az autentikált titkosító módok (pl. AES-GCM) preferálásával jelenleg jó hosszútávú megoldásnak tűnik - aki teheti, valósítsa meg ezek támogatását kliens és szerver oldalon is!

Alighogy megjelent a kiberhadviselésről szóló első bejegyzés a blogon, az Index.hu máris főcímben hozta: „Kibertámadás érte Magyarországot!”. Röviden, vegyük át, mi történt, mit tudunk! Ahogy a CrySys blogjából kiderül, 2012 novemberében kaptak egy fülest arról, hogy egy fontos magyar közigazgatási intézményben esemény történt. Kicsit jobban körüljárva a dolgokat, arra jutottak, hogy a kártékony kódot célzott támadás kapcsán használták fel, többek között magyar állami célpontok ellen is. De vajon mit jelent ez, és miért történt, és különben is? Korábban már ajánlottuk olvasóinknak a Yahoo kiberháborús gyorstalpalóját, de úgy tűnik, hogy érdemes ezt Magyarországra is elkészíteni! Szóval valóban mi is érte az országot?

Új rovattal és új szerzővel nyit a Buhera Blog, elkezdünk a kiberháborúval is foglalkozni. Hogy miért? Mert minden napra jut egy (két, három…Szerk: most éppen a TeamSpy sztori) olyan hír, ami arról szól, hogy az interneten komoly dolgok folynak sok-sok ország részvételével, és ez nem feltétlenül veszélytelen ránk, békés állampolgárokra nézve. Mert, hogy ha kezünket a szívünkre tesszük, és körbenézünk a munkahelyeinken, otthonunkban, akkor bizony azt látjuk, hogy mindenhol számítógépek vannak, mindenhol internet van, és ha ezek a gépek, ezek a kapcsolatok nem működnének, akkor bizony nehézkes lenne a mindennapi életünk.

Ez a kiberháború dolog pedig nem újkeletű, hiszen már a régi egyiptomiak (na jó, az amerikaiak meg a kínaiak az 1990-es években) felfedezték, hogy bizony az informatikai függőség nő, és ha odapakolnak az ellenérdekelt félnek ezen a területen is, akkor az fájni fog. Ja, és bármikor letagadható, rákenhető másra, és sokkal olcsóbb, mint egy lopakodó vadászgép. Ezért szépen titokban néhány ország egészen komoly képességeket fejlesztett ki. Aztán persze nyíltan is elismerték, hiszen mindenki tudja róluk, pl. az amerikaiakról és a kínaiakról.

Az amerikaiak szerint a kínaiak kezdték, a kínaiak szerint az amerikaiak. Barack Obama elnök a kiberbiztonságot az év kiemelt prioritásává tette és ebben a témában fontos vállalatvezetőket is összehívott a Fehér Házba. A kínai miniszterelnök, Li Ko-csiang viszont kiemelte, hogy az amerikaiak tehetnek mindenről, és ők, a kínaiak a legnagyobb áldozatok. De abban mindkét vezető egyetért, hogy a kiberbiztonság világszintű probléma, amivel valamit kezdeni kell – közösen. 

Nem gondolkodik erről másként Észak-Korea sem, akik szerint Dél-Korea és az USA áll az ország honlapjai elleni támadások mögött (Észak-Koreának ezek szerint vannak honlapjai). Úgyhogy, ha már így jártak, vissza is vágtak egy kicsit, Dél-Korea legnagyobb örömére. Ráadásul a hírek szerint még Etiópia is olyan kémszoftvert vet be az ellenzéki személyek megfigyelésére, amit Németországban fejlesztettek. De ezt a megoldást más, jól ismert gyártók termékei mellett többek között Irán, Szíria és korábban Líbia is használta újságírók megfigyelésére – a Riporterek Határok Nélkül szervezet állítása szerint. De Ausztrália sem maradhat ki, ahol a Központi Bankot érte kibertámadás, állítólag kínai forrásból. És ha már Kína, akkor természetesen Japán jó példa arra, hogy mint a mindenkori kínai külpolitika „természetes” célpontja, mit jelent az ezzel járó, khmm, érdeklődés.

A kiberbiztonság tehát az egyik legforróbb téma ma az informatikán belül. Fontos és érdekes kutatás-fejlesztések folynak ezen a területen, hiszen az állami szabályozás ki fog terjedni a kibervédelemre is, úgy az USA-ban, mint Magyarországon. Új „sztárcégekkel” ismerkedhetünk meg, akikről sokat fog írni a sajtó. Ilyen például a Mandiant, az amerikai hírszerzési forrásokhoz állítólag nagyon közel álló cég (akiknek célzott támadásokról szóló írásait ezért érdekes elolvasni), vagy éppen a magyar CrySys Labor, a MiniDuke felfedezője, akiknek innen is sok sikert kívánunk!

És a fenti hírek csak az elmúlt két hét eseményeit tartalmazták. Ígérjük, hogy a Buhera Blog hasábjain ezután folyamatosan tájékoztatjuk olvasóinkat az eseményekről! A téma után érdeklődő, angolul értő olvasóinknak pedig addig is ajánljuk a Yahoo gyűjtését a kiberizé alapjairól és nézegessétek a Deutsche Telecom kiberbiztonsági térképét is! Öveket bekapcsolni, indul a Szép Új Világ!

Microsoft

MS13-021: Összesen 9 hibajavítás az Internet Explorer minden támogatott változatához. A use-after-free sérülékenységek kihasználásával tetszőleges kódfuttatás érhető el speciális weboldalak meglátogatásakor, ezért a problémák besorolása kritikus minden desktop Windows változaton, és "Moderate" a szervereken, ahol a böngésző alapértelmezetten magas biztonsági szinten fut.

MS13-022: Egy szintén kliens-oldali kódfuttatást lehetővé tevő "dupla dereferencia" hiba javítása a Silverlight 5-höz.

MS13-023: Egy type confusion probléma javítása a Visio Viewer 2010-hez - a "nagy" Visio nem érintett.

MS13-024: A szokásos havi XSS adag mellé most egy kevésbé jól tisztázott egyéb, privilégiumemelésre alkalmas probléma, egy Directory Traversal és egy puffer túlcsordulás is tárul - utóbbi a Microsoft szerint csak DoS-ra elég. 

MS13-025: Egy, a OneNote alkalmazásban tárolt felhasználónevek illetve jelszavak kiszivárogtatására is alkalmas probléma javítása a .ONE fájlok feldolgozásában.

MS13-026: Az Outlook Mac-es változatai bizonyos HTML5 tagek feldolgozásakor visszaszólnak a levél küldőjének, aki így ellenőrizheti, hogy egy fiók aktív-e, illetve hogy az üzenetet megnyitották.

MS13-027: A hónap gyöngyszeme - USB eszközök csatlakoztatásakor a Windows kernel helytelenül dolgozza fel az eszköz egyes leíróit, így kernel-módú kódfuttatás érhető el a rendszeren. A poén az, hogy a problémák akkor is triggerelődnek, ha éppen nincs bejelentkezve felhasználó a gépre, kihasználásukkal tehát igazi filmes haxor kütyük építhetők.

Adobe

Az Adobe négy sérülékenységet javított a Flash Playerben - ezúttal nincs hír aktív kihasználásról, a javítócsomag viszont még nem tartalmazza a Pwn2Own-on kihasznált sérülékenység foltját. A frissítés IE10 felhasználókhoz illetve az automatikus frissítést engedélyező felhasználók számára automatikusan lecsorog, és várhatóan a Google is nem sokára frissíti a Chrome-ot. Az egyik - talán a legegzotikusabb - sérülékenységről a bejelentő Suszter Attila blogján olvashattok.

A bejegyzés írásának pillanataiban ér véget az idei vancouveri CanSecWest konferencia Pwn2Own játéka, melynek keretében a HP és a Google több mint fél millió dollárt ajánlott fel népszerű webes technológiák biztonsági hiányosságait kihasználó kutatóknak. 

Bár a verseny eredetileg húzással zajlott volna - azaz a kiszemelt préda elsőként történő leterítéséhez egy kis szerencse is kellett volna - a konferencia kezdete előtt nem sokkal a szervezők bejelentették, hogy minden sikerrel bemutatott exploitot megvásárolnak. 

Hivatalos eredménytábla

Ennek köszönhetően a legkönnyebb feladatként bedobott Java-t hárman is leütötték - James Forshaw, Joshua Drake és a VUPEN csapata 20-20 ezer dollárral gazdagodtak tehát. 

Utóbbi csapat természetesen most is igen aktív volt a játék előtt és közben is: A franciák a két nap alatt mind a célul kitűzött 250 ezer dollárt bezsebelték. Ehhez a Java bug mellett szükség volt egy két sérülékenységet kombináló, a Windows 8 új hardening megoldásait kikerülő IE10 exploitra, egy eddig ismeretlen ASLR+DEP megkerülést bemutató Firefox törésre (ROP nélkül, Windows 7-en, ticket itt nézhető), valamint egy három problémát kombináló IE9 Flash pwn-ra.

Chaouki Bekrar, a VUPEN vezetője az első nap után adott interjúban azt mondta, hogy az államok számára történő 0-day exploit gyártás előtt megpróbáltak együttműködést kötni a nagyobb szoftvergyártókkal a sérülékenységek felelős jelentése, és nem utolsó sorban a kutatók méltányos javadalmazása érdekében, ez a próbálkozás azonban kudarcba fulladt. Most úgy tűnik, néhányan mégis hajlanának ezeknek az eredeti elképzeléseknek az elfogadására.

Ennyit mindenki kedvenc gonosz fegyvergyárosairól. A mezőny IE10 melletti legerősebb célpontjának tartott Win7 + Chrome kombinációt az MWR Labs képviseletében a korábbi Pwner Nils és Jon Butler ütötték le egy sandboxolt kódfuttatást lehetővé tevő Chrome és egy Windows kernel bug kombójával - így a böngészőből rögtön SYSTEM jogot szereztek. A Chrome problémára várhatóan napokon belül jön a javítás

A szintén régi ismerős GeoHot az Adobe "nem láttunk még rá veszélyes exploitot" Reader XI-et kerítette hatalmába. A Sony kedvenc hackerének szavaival: "Először bemásztam a sandboxba, utána meg kimásztam belőle". Levezetésképpen pedig néhány perccel ezen sorok írása előtt Ben Murphy negyedszer is leosztott egy pofont szegény Java-nak - lesz dolga a srácoknak az Oracle-nél. 

Ha jól számolom ezzel a szponzorok lényegében el is verték a teljes felajánlott díjat, ami azt hiszem, példátlan a Pwn*-ok történetében. A konferencia és a játékok során bemutatott újdonságok megjelenését én már tűkön ülve várom :)

Friss (20130308): A Pwnium-on állva maradt a Chrome OS, a Mozilla Pwn2Own-os posztja itt olvasható.

Az Oracle újabb kritikus Java frissítést adott ki - egy hónapon belül a harmadikat - miután újabb, a Java futtatókörnyezet 6-os és 7-es verzióinak hibáját kihasználó támadásokról érkeztek hírek. Az első jelentések a támadásokról február 1-én érkeztek a gyártóhoz, így  február 19-i javítócsomaggal ezeket már nem tudták foltozni, a következő negyedéves CPU viszont még túl messze van, ezért az Oracle a soron kívüli javítás mellett döntött.

A most kiadott folt két sérülékenységet javít, mindkettőt a 2D csomagban. Az eddigi információk szerint ezúttal nem egy tervezési hibáról, hanem valamiféle memóriakorrupcióról van szó, melynek kihasználásával a támadók igyekeznek deaktiválni a SecurityManagert. Az exploit így kevésbé megbízható, mint a közelmúltban megfigyelt, Reflectionre épülő kódok.

Természetesen a Security Explorations sem ült a babérjain: a lengyel csapat több bejelntés kapcsán harcol az Oracle-el, hogy ismerjék el, valóban biztonsági problémáról van szó, a viták során pedig újabb, a Java 7 Reflection API-ját érintő sérülékenységekre derült fény.

Nem lehet tehát eléggé hangsúlyozni, hogy csak akkor hagyjatok Java-t a munkaállomásaitokon, ha arra feltétlenül szükség van, a biztonsági szintet állítsátok a legmagasabbra, és használjátok a böngészők click-to-play lehetőségét! 

Ott hagytuk abba előző postban hogy fókuszáljunk a bypassra L3 és L4en. Néhány általános gondolat mielőtt nekiállunk játszani. Egy negatív modell tűzfalat jóval könnyebb elcseszni: Ha packetolással megyünk neki, jobb eséllyel bypassolható mint egy plusszos. Egy plusszos tűzfalon sokkal nehezebb kapaszkodót találni. A kulcsszavak: feltételezés, vizsgálat, kizárás - addig amig sikerül leszűkíteni a lehetőségeket. Valamennyire lehet automatizálni de nincs klisé, nyitott szemmel kell járni, és megkérdőjelezni azt is ami nyilvánvaló.

Az utóbbi időben többen is megkerestetek különböző szakdolgozat-témákkal kapcsolatos kérdésekkel, ennek kapcsán pedig az jutott eszembe, hogy nem jó az, ha az a rengeteg IT-biztonsággal kapcsolatos munka elveszik a tanszékek könyvtáraiban, mi lenne hát, ha a legjobb darabok kapnának a szokásosnál egy hangyányival nagyobb publicitást. 

Szóval ezennel meghírdetem a BuheraBlog - Félév szakdolgozata pályázatot (frappánsabb névjavaslatokat szívesen fogadok) az alábbi paraméterekkel:

• A pályamunkák teljes egészükben az IT-biztonság valamely területéről kell szóljanak. IT-biztonsághoz kapcsolódó gazdasági, társadalmi, művészeti, stb. témával pályázni felesleges, keményvonalas technikai anyagokat várunk.
• A győztest az én vezényletemmel a magyar IT-biztonsági szakma meghatározó alakjai (akikkel együtt szoktam sörözni) választják ki.
• A hagyományos értelemben vett szakdolgozatok előnyt élveznek, de igazából bármilyen értekezéssel lehet pályázni. A kiválsztás során természetesen tekintettel leszünk arra, hogy BSc tézisről, PhD értekezésről esetleg önszorgalomból elkövetetett kutatásról van-e szó.
• A győztes munka ajnározó szavak kíséretében megjelenik a BuheraBlogon.
• A győztes jutalma egy tálca sör vagy azonos értéket képviselő egyéb nedü, melyet a bátrabbak a Silent Signal büntetőosztagának társaságában fogyaszthatnak el.
• A beküldött munkák közül bármelyik másik munka is megjelenhet ajnározó szavak kíséretében a blogon, de csak egy embert itatunk le.
• Nem biztos, hogy hírdetünk győztest (ez esetben nem publikálunk pályamunkákat).

Beadási határidő: 2013. július 1. 23:59

A pályázatokat az e-mail címemre várom PDF vagy plain text formátumban (nem blog.hu/FB/Twitter/etc üzenetben).

1-es prioritású frissítést adott ki az Adobe a Flash Playerhez, mellyel célzott támadásokat igyekeznek gátat szabni. A cég szokásosan szűkszavú közleménye szerint rosszindulatú felek a lejátszó két sérülékenység kifejezetten Firefox böngészőt használó célpontokkal szembe vetik be, feltehetőleg kijátszva a nem olyan rég implementált sandbox megoldást. 

Az újabb Internet Explorer változatokkal érkező Flash változatott a Microsoft a megszokott update mechanizmuson keresztül teríti, az IE10-et pedig mától Windows 7-en is használhatjuk.

Az előző részben ott hagytuk abba, hogy egy use-after free sérülékenység triggerelése után képesek voltunk kontrollálni egy dinamikusan kötött metódushívás első pointerét. A kérdés ezek után logikusan az, hogy hova is érdemes mutatni azzal a mutatóval. 

Itt két dolgog kell, hogy kapásból az ember eszébe jusson: az egyik az ASLR nélküli modulok, a másik a heap spray. Ez a rész eredetileg az utóbbiról szólt volna, de az első poszttal együtt a Corelan csapat kijött egy Heap Spray bibliával, amihez azt hiszem, keveset tudnék hozzátenni.

Az elmúlt hetekben sokat gondolkoztam, hogy hogyan lehetne folytatni a sorozatot a gondolatmenet megszakítása nélkül, de a már jól dokumentált technikákat nem az unalomig ismételve. Végül arra jutottam, hogy az lesz a legjobb, ha a legfontosabb koncepciók rövid bemutatása után egy már ismert exploitot fogok bemutatni, illetve egy kicsit átírni. Ha valamelyik témával kapcsolatban bővebb kifejtésre vágytok, jelezzétek kommentben, és beiktatunk bónuszepizódot :)

Java

Az Oracle tegnap kiadta a február 1-én kimaradt Java frissítéseket. A javított problémák első sorban a kliens oldali alkalmazásokat érintik, szerver oldalon a legújabb, CBC módú blokktitkosítókat használó TLS kapcsolatokat érintő "Lucky Thirteen" támadást küszöbölték ki (erről remélhetőleg majd egy későbbi posztban olvashattok, ha sikerül valamennyire utólérnem magam). A frissítést OS X júzerek is megkapják.

Idő közben kiderült, hogy Java sérülékenységeket kihasználva célzott támadók bejutottak a Facebookhoz és az Apple-hez is. 

Adobe Reader

Az Adobe Reader XI sandboxból is kitörni képes 0-day kártevőt fedeztek fel a vadonban. A rosszcsont két független Reader hibát használ ki a szoftverben, és tisztán ROP shellkódot futtat, vagyis az AV motorok kódemulációt használva sem nem ismerik fel. Frissítés egyelőre nincs, áthidaló megoldásként a Protected View bekapcsolása ajánlott.

Friss (19:41): Kijött a frissítés

Firefox

Ha már PDF: a legújabb Firefox 19 beépített PDF ovlasóval érkezik - remek fuzzing célpont - ezen túl pedig 4 kritikus problémát is orvosol.

Zimankós jóestét mindenkinek...

Microsoft

MS13-009: Összesen 13 hibajavítás az Internet Explorer összes változatához. EGy kivételével use-after-free problémákról van szó - a tutorial második része készülőben, stay tuned ;)

MS13-010: Az előző pponthoz kapcsolódó puffer túlcsordulás probléma a VML formátum feldolgozójában, ami akár böngészőn keresztüli kódfuttatásra is lehetőséget adhat. A Server Core installációkon kívül minden OS-IE kombó érintett, csakúgy, mint az előző esetben.

MS13-011: Úgy rémlik, régen volt már DirectSHow-val kapcsolatos probléma - ennek a sorozatnak most vége. A Quartz.dll egyik metódusának hibáját kihasználva kódfuttatás érhető el weboldalakba, vagy office dokumentumokba ágyazott, illetve streamelt videó tartalmak esetén. Az érintett szoftverek listája elég hézagos, nézéétek a hivatalos figyelmeztetőt a pontos listáért.

MS13-012: Oracle Outside In foltok átszivárogtatása az Exchangebe. Az Outside In transcoding szolgáltatásán keresztül kódfuttatás érhető el, amennyiben egy felhasználó OWA-n megnyitja egy speciálisan összeállított dokumentum előképét. A transcoding szolgáltatás LocalService-ként, minimális jogosultságokkal fut. Az Exchange Server 2007-es és 2010-es változatai érintettek.

MS13-013: Szintén Outside In problémák javítása, ezúttal a FAST Search Serverhez. A problémák csak bekapcsolt Advanced Filter Pack mellett jönnek elő, és egy elkopaszított biztonsági tokennel futó felhasználói folyamatba engednek beletúrni. A FAST Search Server 2010-es változata érintett.

MS13-014: Egy támadó kinyírhat egy NFS-t futtató Windows kiszolgálót egy csak-olvasható könyvtáron végzett fájlművelettel. Windows Server 2008 és 2012 érintettek.

MS13-015: A szokásos havi .NET privilégiumemelős móka. Akkor vagy bajban, ha XBAP alkalmazásokat futtatgatsz a webről, vagy ha gonosz felhasználóknak kínálsz korlátozott .NET futtatási lehetőséget.

MS13-016: Ez a j00ru srác nagyon beletenyerelt valamibe, a frissítés 30 általa (és néhány kollegája által) bejelentett helyi privilégiumemelő hibát orvosol ezzel a folttal. Minden esetben versenyhelyzet problémákról van szó. Minden Windows változat érintett.

MS13-017: ...és még mindig a Google-s srácokhoz fűzűdő javítások. Két újabb kernel race-condition és egy elbaltázott referenciaszámláló.

MS13-018: Ez a darab jól illeszkedik a packet-fu sorozathoz. Ha egy TCP szolgáltatás lezárja a kapcsolatot, a kliens viszont 0-s ablakó ACK-val válaszol, a kapcsolat nyitva marad. Ha ezt elégszer eljátsszuk, a TCP/IP-nek szánt memória elfogy, és nem lehet több kapcsolatot nyitni, azaz DoS-ba kerül a rendszer. Kérdés az, hogy melyik elterjedt Windows szolgáltatás szokott gyakran FIN-t küldeni a kliensnek - az IIS az SRD szerint nem sérülékeny, de mintha az RDP hajlamos lenne eldobálni az inaktív kapcsolatokat (bár ez lehet hogy kliens-vezérelt viselkedés - mondjátok meg a tutit kommentben!). Vistánál korábbi rendszereket (így a 2003-akat) nem érinti a probléma.

MS13-019: Újabb privilégiumemelésre alkalmas probléma a CRSS-ben, itt is egy tévesztő referenciaszámláló okozza a galibát. Windows 7 és etől felfele érintett.

A fentieken túl jó hír, hogy az EMET 3.0-hoz mostantúl hivatalos support jár a megfelelő előfizetéssel rendelkező ügyfeleknek - komoly helyen megéri foglalkozni a témával!

Adobe

Az Adobe egy rakás frissítést adott ki a Flash és Shockwave Playerekhez. A Flash frissítéssel elérhetővé vált a nem rég beharangozott Office click-to-play funkció is. A Flash javítócsomag Windowson 1-es, Mac-en 2-es a többi platformon 3-as prioritást kapott. A Shockwave Windowson is Mac-en is 2-es. Az Apple érezhetően egyre vonzóbb célponttá válik.

Egyebek

Frissült a Chrome linuxos változata, a beépített Flash lejátszó pedig minden platformon.

A Rails is kapott egy foltot: javították a JSON-ön keresztüli kódfuttatás problémát, és azt a nem rég felfedezett rést is, melyen keresztül megkerülhető az attr_protected védelme. Utóbbi problémáról tömören:

A RoR kererendszer a fejlesztő életének megkönnyítése érdekében hajlamos a modell objektumok adattagjait megszerkesztgetni megfelelő HTTP kérések hatására, ami nem mindig jó, ezért a fejlesztő megmondhatja, hogy melyek azok az attributumok, amikhez a kliens (nem) nyúlhat hozzá. A probléma az, hogy a védelem implementálásakor a fejlesztők nem vették figyelembe a Ruby Security Guide ajánlásait (sem), és megkerülhető reguláris kifejezésekkel próbálták szűrni a hozzáférhető attributumokat.

Az előző postban elszöszöltünk az IPoptions RR/TS -el, TTL-el, és többnyire csak TCPvel foglalkoztunk. Ez a post egy kicsit támaszkodni fog rá, szóval ha még nem olvastad akkor célszerű először azt. Igyekszek lényegretörően felépíteni az írást, de most sem megyek le nagyon a részletekig. Maradunk továbbra is a 3. és 4.-ik layeren. Se fel, se le... egyelőre.

Most két olyan témát fogunk kapirgálni, amelyeket csak egymás mellett érdemes tárgyalni: scannelés és tűzfalak. Eredetileg ezt a két témát egy postban szerettem volna lezavarni, de elég hosszúra sikerült, ezért utólag kettészedtem, úgyhogy a harmadik epizód már be van tárazva.

... és egy csipet Java a változatosság kedvéért

Flash

Az Adobe tegnap minden platformon frissítette a Flash Playert. A két javított sérülékenységet aktívan kihasználják célzott és kiterjedt támadások során Windows és Mac felhasználókkal szemben is! Érdekes kérdéseket vet fel, hogy a célzott támadások során használt exploitokat Word fájlokba ágyazva terjesztették, de a lejátszást makróval triggerelték, ami minden rendes konfigon felhasználói megerősítést kér - ugyanez a feladat Office 2010 előtti célpontokkal szemben csendben megoldható.

Utóbbi problémára reagálva az Adobe a következő Flash kiadásban új védelmet vezet be, ami ellenőrzi, hogy a programot régebbi, védett móddal nem rendelkező Office verzión keresztül indították-e. Amennyiben igen, a lejátszó felhasználói megerősítést kér majd az adatfolyam megnyitása előtt. 

Az IE10 júzerek a frissítést már Windows Update-en kapják.

Java

Úgy tűnik, az Oracle elfelejtett betenni néhány frissítést a február elejére előrehozott frissítésébe, így még egy foltot kapunk az eredeti, február 19-i időpontban is.

Végszó

Érdemes összevetni a Java mostani botladozásait az Adobe (vagy akár a Microsoft) korábbi bughullámaival: Flash/PDF biztonság téren igen komoly előrelépés történt az elmúlt években, ezért a gyártó mindenképpen elismerést érdemel. Megjegyzendő ugyanakkor, hogy az Adobe jelentős segítséget kapott a Microsofttól és a Google-től is a sandboxing és a hibavadászat területén - az Oracle termékével kapcsolatban azonban jelenleg nem állnak rendelkezésre ilyen erőforrások, ráadásul (kliens oldalon) a technológia is kifutóban van. Lehet fogadásokat kötni, hogy az applet, mint fogalom beledöglik-e az ellene megindult offenzívába, de abban azt hiszem megállapodhatunk, hogy az offenzív kutatás idáig elég látványos eredményeket tudott felmutatni :)

(legalábbis nyilvánosan)

Ez csak egy gyors poszt lesz a legutóbbi Java frissítés utáni fejleményekről, akit mélyebben érdekel a téma, az klikkelgessen (nekem kicsit hosszú volt ez a nap a Java bugok elemzéséhez):

Az elsőszámú Java bugvadásszá és kommentátorrá előlépett Adam Godwiak bejelentette, hogy nyilvánosságra hozzák a korábban is emlegetett kutatási anyaguknak azon részeit, melyek a mostani csomaggal javított sérülékenységekre vonatkoznak. Ezek azon túl, hogy kitérnek a kliens-oldali sandbox-kitörés részleteire, bemutatják, hogy egyes, az Oracle által kliens-oldali problémaként megjelölt hibák hogyan használhatók szerver-oldali alkalmazások megtámadására, pl. az RMI protokollon keresztül.  

Részletes elemzést olvashatunk ezeken túl Tyranid blogján az általa felfedezett, Rhino engine-t érintő sérülékenységről.

Végül - bár a SE anyagai között is megvan - szeretném felhívni a figyelmet az Immunity blogposztjára, melyben a szerző rendkívül találó stílusban írja le, hogy a Java biztonsági szintjeit a hihetetlenül komplex <embed object="szerializalt.objektum"...> konstrukcióval lehetett megkerülni...

Már lehetett olvasni róla, hogy az Internet jelentős része veszélyben van a kint felejtett UPnP portok miatt. A Rapid7 riportja igen kimerítően elemzi a témát, ezért a részletekbe nem mennék bele, inkább egy kis összefoglalót és néhány megjegyzést közölnék.

Dióhéjban az UPnP-ről: A hálózaton szétküldünk SSDP üzeneteket, melyekre az UPnP képes eszközök válaszolnak. A válasz tartalmazza az eszközök HTTP kiszolgálójának és az azon található szolgáltatás leírónak az elérési útját. Az XML leíró alapján a felfedezett HTTP szerveren keresztül SOAP hívásokkal tudunk különböző utasításokat adni az eszköznek.

Először is, az alapvető probléma nem az UPnP protokolljaival van. A kutatás egyrészt egyes protokoll-implementációk sérülékenyeire mutat rá, valamint figyelmeztet, hogy kb. 17 millió UPnP eszköz SOAP interfésze internet-irányból is elérhető - ezek a felületek gyakran nem kérnek hitelesítést, és lehetőséget adnak az eszközök távoli vezérlésére (pl. port forwarding beállítása). Utóbbi problémáról már jó ideje tudunk, de ilyen jellegű méréshez még nem volt szerencsénk. Az implementációs problémákkal kapcsolatban rendkívül érdekes megállapítás, hogy a neten hallgató eszközök háromnegyede mindössze négy gyártó implementációját használja!

Ebből a Rapid7 két UPnP stackre, az Intel libupnp-jére és a MiniUPnP-re fordított külön figyelmet. A libupnp SSDP parsere összesen nyolc stack túlcsordulásos problémát javít: Ezek korlátozott byte-készlettel használhatók ki, a rendelkezésre álló hely viszont elég nagy, és egy bónusz NULL-t tetszőleges helyre beszúrhat a támadó egy string termináló utasítás kihasználásával - igazi csemege az ARM hackereknek ;) A hiba kihasználásával a támadó egyetlen UDP csomaggal átveheti az irányítást a készülék felett. 

A MiniUPnP esetében a gyártó már ugyan korábban kiadott frissítéseket, melyekben csendben javította a Rapid7 által közzétett problémákat - ez azonban sovány vigasz, a könyvtárat használó eszközök nagyobbik része ugyanis sérülékeny verzióval fut. Itt DoS problémákról illetve egy távolról, a SOAP interfészen keresztül kihasználható egyszerű stack túlcsordulásról van szó. 

A maradék két gyártóval a Rapid7 nem foglalkozott, két értékes célpont tehát még maradt az erdőben. Nem sokkal a tárgyalt tanulmány megjelenése után azonban a DefenseCode is kiszivárogtatott némi infót egy Linksys routerben felfedezett sérülékenységről. Mint kiderült, a probléma éppen az egyik, Rapid7 által nem azonosított gyártót - most már tudjuk, hogy a Broadcom-ot - érinti, akinek az UPnP megvalósítása több mint 100 (nem csak Broadcom) termékben, 15.8 millió neten figyelő eszközben van jelen. Ez a format string sérülékenység az egyik SOAP metódust érinti.

Egy gyártó (és egy Magyarországnyi eszköz) tehát még maradt, de nem lepődnék meg, ha hamarosan erről az implementációról is lehullana a lepel és kiesne pár bug.

Zárjátok be az UPnP-t!

Úgy tűnik joernchen nem hagyott fel a Rails túrásával, a munka pedig meghozta gyümölcsét, már vagy tíz perce vigyorgok:

A történet ott indul, hogy a MySQL annyira típusérzéketlen, hogy a 0="valami" (integer vs. varchar) számára egy igaz kifejezés. Ez persze már önmagában gyönyörű, de lássuk a gyakorlati alkalmazást!

Tegyük fel, hogy egy RoR app valahogy így ellenőrzi a jelszócseréhez kiküldött egyszeri véletlen token helyességét: 

def reset
  user = User.find_by_token(params[:user][:token])
  if user
    #reset password here
  end
end

Kapisgáljátok? A Rails elfogad típusos XML adatstruktúrákat, vagyis egy HTTP kérésben megmondhatjuk hogy az alkalmazás egy adott paramétert milyen típusúként értelmezzen - nincs tehát más dolgunk, mint egy integer típusú 0-t beküldeni, és tárulj Szezám:

POST /user/password/reset
[...]
Content-Type: text/xml

<user><token type="integer">0</token>[...]</user>

A legjobb az egészben, hogy ez mindkét szoftver esetében feature nem pedig bug, így nem valószínű, hogy a közeljövőben hivatalos megoldást látunk a problémára. A GitHub vadiúj keresője azt hiszem már izzad...

Elkerülő megoldásként a XML kérések letiltása segíthet (talán).

Több helyen lehetett már olvasni, de itt is érdemesnek tartom rögzíteni:

Kínai támadók megszerezék a New York Times összes munkatársának jelszavait és négy hónapon keresztül tevékenykedtek zavartalanul a cég hálózatában, valamint több mint 50 munkatárs otthoni számítógépén. A hírek szokás szerint egy "igen kifinomult, célzott" támadásról szólnak. A szálak természetesen Kínába vezetnek: a támadók olyan amerikai egyetemi szervereken keresztül proxyzták magukat, melyek korábban észlelt, a kínai hadsereghez köthető támadásokhoz kapcsolódtak, ezen kívül a támadók 4 hónapon keresztül minden nap pekingi idő szerint reggel 8-kor kezdtek turkálni a lap hálózatában. A még viccesebb része a történetnek, hogy a rangos hírlap sajtóközleményeiben megemlítette, hogy a támadókat nem nagyon zavarta a cégnél üzemelő Symantec biztonsági termék, mire a Symantec - felrúgva a "ügyfél incidensről nem nyilatkozunk" aranyszabályt - szintén kiadott egy közleményt, melyben megpróbálják arra kenni a dolgot, hogy az áldozat csak a szignatúra alapú detekciót futtatta a munkaállomásain.

A NYT után nem sokkal a Wall Street Journal is hasonló esetről számolt be. Mindkét lapnál azt gyanítják, hogy a támadások motivációját a Kínával kapcsolatos belső anyagok megismerése motiválta.

Végül tegnap arra is fény derült, hogy a Twitter rendszerét is kompromittálták, és nagyjából 250.000 felhasználó jelszavához is hozzáfértek. Bár a támadás részleteiről egyelőre nem sokat tudni, feltételezhető, hogy ebben az esetben is kliens-oldali támadásról volt szó - a hírek Java és és Firefox sérülékenységeket említenek.

Friss (2013. 02. 02.  16:48): Most jött a hír, hogy a Washington Post is bekapta a legyet. A nap elgondolkodtató kérdése: milyen spear phishing témával lehet a legmagasabb kattintási arányt elérni random újságíróknál?

Az Oracle az eredetileg február 19-re időzített rendszeres Java frissítést előrehozta február 1-re, hogy orvosolja a legutóbbi, távoli kódfuttatásra alkalmas problémát. A gyártónak bőségesen akadt feladata: a SecurityExplorations szerint a Java 7 több, az utóbbi időben kihasználtakkal rokon sérülékenységet tartalmazott, valamint az újonnan bevezetett biztonsági szintek - melyek rendszerszinten gátolnák az appletek automatikus elindulását - is kijátszhatók. Arról egyelőre nincs pontos információ, hogy a 7u13-al sikerült-e az Oracle-nek ezeket a problmákat is maradéktalanul kigyomlálnia, de beszédes, hogy a patch összesen 50 biztonsági problémát orvosol, ezek közül 44 csak a kliens installációkat (böngészőn keresztüli támadási vektor) érinti, 3 darab a kliens és szerver változatokat is, 2 pedig csak a szerver változatokat sújtja. Egyes sérülékenységek mind szerver, mind kliens oldalon elérik a 10.0-ás CVSS értéket - ezek a problémák tehát távolról, autentikáció nélkül, egyszerűen kihasználhatók, frissítsetek mihamarabb!

Napi idézet:

"the exploitation scenario of this kind of bugs on servers is very improbable; for example, one of these vulnerabilities can only be exploited against a server in the unlikely scenario that the server was allowed to process image files from an untrusted source. "