Ma kijött a Microsoft márciusi javítócsomagja, ami annyira soványka lett, hogy lehet, hogy nem is fogok írni róla (egy-egy bullettin jött az Excel-re és a Movie Maker-re). Ami viszont sokkal érdekesebb, hogy a javításokkal együtt kijött egy biztonsági figyelmeztető is, melyben a cég…
Foltozatlan IE és Opera hibák...a házban
2010.03.10. 10:05 | buherator | 4 komment
Címkék: opera bug internet explorer 0day
Jogosultságkiterjesztés sudo-val
2010.03.03. 18:30 | buherator | Szólj hozzá!
Régen volt már linuxos poszt, de most szerencsére érkezett javításra került két jópofa hiba a Todd Miller féle sudo-ban, amit többek között a Debian, az Ubuntu, a Red Hat és a Mandrake is használ.Az egyik hiba valószínűleg egyszerű figyelmetlenségből adódott: a sudoers fájlban…
Címkék: patch bug sudo
PHP biztonsági hírek
2010.03.03. 18:00 | buherator | 1 komment
Kicsit le vagyok maradva, de jobb később, mint soha: történt néhány érdekesség a PHP háza táján az utóbbi időben.Megjelent a PHP 5.2.13, ami több biztonsági hiányosságot is orvosol. Konkrétan a régebbi változatokban a safe_mode-ot lehet kikerülni a tempnam() függvény…
Címkék: php patch bug debian fail month of php security
Firefox javítások és egy 0day
2010.02.19. 13:33 | buherator | Szólj hozzá!
A Mozilla tegnap kritkus besorolású javítócsomagot adott ki a Firefox böngésző 3.5-ös és 3.0-as szériáihoz. A frissítés három távolról kihasználható (MFSA-2010-01, MFSA-2010-02,MFSA-2010-03), kódfuttatásra alkalmas sebezhetőséget és két kisebb, XSS-re alkalmat adó…
Címkék: firefox patch bug mozilla 0day vulndisco
Visszafele kompatibilitás: terjeszd ki jogaidat bármilyen Windowson
2010.01.20. 14:58 | buherator | 7 komment
Tavis Ormandy, a Google munkatársa egy olyan exploit leírását tette közzé, amely elvileg minden 32-bites Windows változaton lehetővé teszi a helyi felhasználó jogainak kiterjesztését rendszer szintre. A problémát az elavult 16-bites alkalmazások számára BIOS hívásokhoz elérést…
Címkék: windows bug 0day visszafele kompatibilitás
Mac OS strtod() és atof() sebezhetőségek
2010.01.08. 15:04 | buherator | 8 komment
A SecurityReason munkatársai most megjelent tanácslatukban felhívják a figyelmet, hogy a tavaly októberben NetBSD és OpenBSD rendszerekkel kapcsolatban napvilágot látott, dtoa() és printf() sebezhetőségekkel rokon hibák a Mac OS 10.5 és 10.6 változatait is érintik.A problémák nem…
Címkék: bug os x
Bréking: Abode 0-day a vadonban
2009.12.15. 19:29 | buherator | 1 komment
Javítatlan Adobe Reader sebezhetőséget kihasználó exploittal garázdálkodnak újabban a rosszemberek. A hivatalos blog szerint a Reader és Acrobat termékeket egyaránt érinti a probléma. A sebezhetőség részletei nem kerültek nyilvánosságra ezidáig, de CVE már nyílt, érdemes azt…
Címkék: bug 0day adobe reader
Linux kernel NULL pointer dereferencia
2009.11.04. 15:07 | buherator | 7 komment
Earl Chew egy versenyhelyzetből adódó NULL pointer dereferencia sebezhetőséget fedezett fel a Linux kernel csővezeték-megvalósításában. A probléma akkor jelentkezik, mikor két folyamat egyszerre próbál elengedni és megnyitni egy pipe-ot: ugyan a kölcsönös hozzáférést mutex…
Címkék: linux patch bug pipe
BIX.hu SQL injection
2009.11.03. 21:44 | buherator | 4 komment
Interpooler küldte az infót, hogy szépen lehet listázni a BIX.hu adminjának hash-ét. Mivel az infó amúgy is nyilvános, ezúttal kivételesen csak abban bízom, hogy van illetékes a közelben, aki olvassa a blogot :)
Címkék: bug sql injection az olvasó ír bix.hu
Bitvadászat: Net/OpenBSD printf para
2009.10.31. 18:40 | buherator | 18 komment
Tegnap söröztünk egy jót Aikonnal, és szóba került, hogy milyen jó is lenne, ha rámennék itt a blogon a "bitközelibb" sebezhetőségekre, pl. kernel bugokra és hasonlókra. Kivitelezési szempontból azonban van egy pár bökkenő:Töredelmesen bevallom (de ez szerintem eddig…
Címkék: bug buherablog openbsd netbsd az olvasó ír printf
Aliencomputers - Frissítve
2009.10.15. 15:37 | buherator | 15 komment
Még múlt héten kaptam sghctomától pár érdekességet a magyar netről. Megpróbáltam felvenni a kapcsolatot az Aliencomputers-szel is, sajnos sikertelenül... ... egy eleg ismert szamitogepbolt, toluk az ember azert minimum azt elvarna, hogy ne plaintext-ben legyenek tarolva a jelszavak...…
Címkék: bug sql injection aliencomputers
Ismét veszélyben az Adobe felhasználók
2009.10.09. 10:42 | buherator | 2 komment
Az Adobe biztonsági szakemberei arról számoltak be, hogy aktív támadások kezdődtek a Reader és Acrobat szoftverek 9.1.3-as verzióit futtató Windows felhasználókkal szemben. A cég a javítást rendszeres, negyedéves frissítési ciklusába ütemezve, október 13-án fogja a…
Címkék: bug adobe 0day
Kritikus FTPd hibára figyelmeztet a Microsoft
2009.09.02. 08:45 | buherator | 3 komment
Aki figyeli a Twittert (vagy a FD-t), az már néhány napja értesülhetett róla, hogy Kingcope távoli kódfuttatásra alkalmas exploitot publikált a Microsoft IIS 5-ös verziójának FTP kiszolgáló komponensére. A probléma elvileg az IIS 6-ot is érinti, de ott a megfelelő stackvédelem…
Címkék: bug ftp 0day iis
Helyi jogosultságkiterjesztésre alkalmas hiba a Linux kernelekben
2009.08.14. 08:57 | buherator | 1 komment
A Google biztonsági csapatának szakemberei több NULL pointer dereferenciát eredményező problémát fedeztek fel a Linux kernel 2.4-es és 2.6-os verzióiban, beleértve a legfrissebb stabil változatokat is. A hiba a socketekhez rendelt proto_ops struktúra kezelésében leledzik, amely egy…
Címkék: linux bug
Firefox/Netscape/Flock címsor hamisítás
2009.07.29. 13:06 | buherator | 1 komment
A Mozilla biztonsági csapata a Firefox webböngésző összes verzióját valamint a Netscape és Flock alkalmazásokat érintő, címsorhamisításra lehetőséget adó sebezhetőségről számol be. A hiba kihasználásával pl. egy adathalász akció során a kártékony weboldal átírhatja a…
Címkék: firefox flock bug netscape spoofing
Újabb Firefox sebezhetőség - Frissítve
2009.07.18. 20:27 | buherator | Szólj hozzá!
A nagy nyári melegben úgy tűnik a Mozillás srácok kevésbé voltak képesek a 3.5-ös verzió biztonságára koncentrálni. Az új alverzió kiadása után nem sokkal megjelent, majd javított puffer túlcsordulásos sebezhetőség után a SANS ISC most újabb veszélyre hívja fel a figyelmet,…
Címkék: firefox bug 0day
Finomságok a FD-ről
2009.07.17. 12:12 | buherator | 2 komment
Amíg az anti-sec alakulat a milw0rm megrogyasztásán munkálkodik, a nyilvánosságrahozatal módszerében hívők letettek pár érdekességet az asztalra: Brad Spengler, a grsecurity fejlesztője közzétett egy olyan exploit forráskódot, amely amellett, hogy kihasználja a PulseAudio egyik…
Címkék: linux bug wow full disclosure american airlines pulseaudio selinux apparmor linux security modules
[FUD veszély] Mégis létezik a titokzatos OpenSSH sebezhetőség?
2009.07.14. 21:03 | buherator | 2 komment
Na, mint kiderült el van rejtve egy kis szeretetcsomag az itt hivatkozott kódban, ami lezúzza a rendszert ha hagyják, szóval tessék ésszel kísérletezni (lehetőleg live/virtuális rendszeren)! Innentől a poszt természetesen értelmét veszti, ezt benyaltam, sry... - thx dnetNéhány napja…
Címkék: bug fud openssh antisec
Firefox 0day
2009.07.14. 20:42 | buherator | 3 komment
Már sok helyen megírták (hiába, még az elmúlt 4 napot nyögöm erősen...), de muszáj itt is megemlítenem, hogy egy javítatlan Firefox 3.5 sebezhetőség kihasználására alkalmas exploitot publikáltak az újjá született milw0rm-ön. A sérülékenység az érintett alkalmazást…
Címkék: firefox bug 0day
Sok kicsi
2009.07.13. 17:10 | buherator | Szólj hozzá!
Lássuk mi történt az elmúlt néhány napban biztonsági fronton:Nagy erőkkel kezdték DDoS-olni Dél-Koreát és az USA-t ismeretlen támadók. Bár sokan Észak-Koreára mutogatnak, konkrét bizonyítékok nem szólnak a kommunista állam ellen. Jó kis elemzést olvashattok a támadás…
Címkék: hírek safari patch bug incidens internet explorer 0day milw0rm ddos antisec imageshack
Gátszakadás
2009.06.25. 12:24 | buherator | Szólj hozzá!
A kínai állam újabban a Green Dam (Zöld Gát) nevű szoftver segítségével igyekszik távoltartani állampolgárait az olyan nemkívánatos internetes tartalmaktól, mint pl. a diktatúrát kritizáló weboldalak pornográfia. A szűrőprogramot egy kormányrendelet szerint július 1-től…
Címkék: kína privacy bug green dam zöld gát
Távolról kihasználható DirectX sebezhetőség
2009.05.29. 05:56 | buherator | 3 komment
A Microsoft ma hajnali tanácslatában egy új, távoli kódfuttatásra alkalmas problémára figyelmeztet. A DirectShow platform quartz.dll-jében felfedezett sebezhetőség kihasználható pl. egy speciálisan összeállított, QuickTime tartalmat hordozó weboldalon keresztül is, amennyiben a…
Címkék: microsoft bug quicktime 0day directx directshow
Sun Solaris sadmind sebezhetőség
2009.05.25. 07:03 | buherator | Szólj hozzá!
A Secunia kutatói helyi és távoli kódfuttatásra alkalmas sebezhetőségeket fedeztek fel a Sun Solaris 8-as és 9-es (x86 és SPARC) verzióinak Solstice AdminSuite programcsomagjához tartozó sadmind démonban. A heap és integer overflow-t eredményező problémák kihasználásához…
Címkék: patch bug sun solaris solstice adminsuit sadmind
További infók az IIS WebDAV sebezhetőséggel kapcsolatban
2009.05.24. 16:53 | buherator | Szólj hozzá!
Az US-CERT szerint már aktívan kihasználják a nem rég felfedezett, IIS 5-ös és 6-os szervereket érintő, autentikáció-megkerülésre alkalmas sebezhetőséget, hivatalos javítás pedig még nincs, az izgalom tehát a tetőfokára hágott. A kedélyek megnyugtatása végett álljon itt egy…
Címkék: microsoft bug 0day webdav
Hónapok óta javítatlan, kritikus Mac OS X Java sebezhetőség
2009.05.21. 16:26 | buherator | 1 komment
trey@HUP: Landon Fuller arról vált szélesebb körben is ismertté, hogy megpróbált minél hamarabb patch-eket készíteni 2007. januárjában a Month of Apple Bugs figyelmeztetőkben publikált hibákra. A biztonsági szakember most arról ír blogjában, hogy öt…
