MS12-052: Négy hibajavítás az Internet Explorer különböző változataihoz. A problémák a böngésző összes változatát érintik.  MS12-053: Egy újabb RDP protokollt érintő, use-after-free hiba, amely ezúttal csak XP SP3-as rendszereket érinti.  MS12-054: Négy hibajavítás a…

MS12-043: Javítás az egy hónapja tátongó, aktívan kihasznált XML Core Services hibához. A folt csak az MSXML 3-as, 4-es és 6-os verzióit javítja, mivel aktív támadásokat ezekkel szemben tapasztaltak. Az 5-ös verzióhoz - melyet az Office 2003 és 2007 programcsomagok használnak -…

MS12-036: Kapásból a hírhedt MS12-020 tesójával indul a hónap, az RDP hibája távoli kódfuttatást tesz lehetővé autentikáció nélkül. A gyártó most is 1-es kihasználhatósági indexet adott a hibának, azaz véleményük szerint 30 napon belül várható működő exploit…

Az RDP exploit még mindig nem publiks (a 30 napos becslés pesszimistának bizonyult), de azért tojt a nyúl néhány kritikus foltot a Microsoftnak: MS12-23: Az ehavi Internet Explorer frissítés öt sérülékenységet orvosol. A böngésző összes támogatott változata érintett, a…

Korábbi posztok alkalmával már felmerült, hogy érdemes lenne kicsit részletesebben körbejárni a népszerű böngészők aktuális megerősítő megoldásait, hogy minél többen képbe kerüljenek az oprendszer szintű védelmek, sandboxok és védett módok útvesztőjében. Szerencsére a…

Itteni idő szerint tegnap este elindultak az idei CanSecWest konferencia játékai, a világhírű Pwn2Own és a Google által idén először megrendezett Pwnium. Ahogy az várható volt, a játékok osztódása elég nagy zavart kavart a fejekben, tisztázzuk még egyszer a szabályokat: A…

MS12-008: Két Windows kernelt érintő probléma javítása. Az egyik a billentyűzetkiosztások kezelésével kapcsolatos use-after-free, és hely privilégiumemelésre ad lehetőséget. A másik probléma a kernel GDI komponensét érinti, és a Microsoft szerint távoli kódfuttatásra is…

 Rég volt ilyen sűrű az év vége a környékemen, de szerencsére megvan az előnye annak is, ha egy kicsit nagyobb késéssel számolok be a Microsoft havi foltáradatáról, nevezetesen, hogy nem kell publikáció után 10 percenként frissíteni a posztot, mivel már rendelkezésre áll…

Beköszöntött a hideg, de a Microsoft egy nagy adag frissítéssel gondoskodik róla, hogy égjen a kezünk alatt a munka. A szokásos javítócsomagok mellett megjelent a Microsoft Security Intelligence Report legfrissebb kiadása is, melynek tanúsága szerint a támadások 99%-a még mindig…

A múlt hónap laza volt, az idei kevésbé az: MS11-057: Öt hibajavítás az Internet Explorer összes támogatott verziójához. Természeretesen mindegyik javított sebezhetőség távoli kódfuttatásra adhat lehetőséget. A javított hibák között szerepel Stephen Fewer egyik…

Izgalmas nap volt a tegnapi, a Microsoft és az Adobe is nagyot frissített, következzen először is az előbbi gyártó javítás-listája:MS11-038: Az OLE Automation rosszul kezeli a WMF fájlokat, ami kódfuttatásra ad lehetőséget speciálisan összeállított weboldalakon keresztül. A…

Rosario Valotta egy igen érdekes, javítatlan Internet Explorer sebezhetőséget, és egy hozzá kapcsolódó támadási láncot tett közzé, melynek lefutása után - némi felhasználói körzeműködéssel - megszerezhetők a böngészőben tárolt sütik. Az IE sebezhetőség rém egyszerű:…

Nem lustálkodtak a Microsoftnál az elmúlt egy hónapban, kereken 0b100000 egyedi sebezhetőség került javításra, 0b10001 bulletinben.MS11-018: Öt hibát, köztük a Pwn2Own-on használtak egyikét javító csomag az Internet Explorerhez. A sebezhetőségek közül többet kihasználtak már…

Ma van a Biztonságos Internet Nap, de a Microsoft most megjelent frissítőcsomagja bizonyítja, hogy sajnos nem elég a webkamera-használatra odafigyelni, ha az ember netán az Internetre téved.MS11-003: Mindjárt az első javítócsomagban ott találjuk az éppen 3 hónapja publikált, IE-t…

 Az év első firssítőcsomagja kevés izgalmat tartogat, viszont annál többet hagy maga mögött: ezzel a csomaggal sem a Graphics Rendering Engine problémája, sem a cross_fuzz által feltárt IE sebezhetőség(ek) nem kerülnek javításra. A CSS stíluslapok feldolgozását érintő…

 Mihal Zalewski közzétette cross_fuzz nevű böngésző fuzzerét, mellyel állítása szerint eddig kürölbelül száz hibát talált az Internet Explorer, a Firefox, az Opera és gyakorlatilag az összes WebKit alapú böngészőkben. A szoftver működéséről a kutató a következő…

A legutóbbi frissítőkedd bemutatásánál említést tettem a Breaking Point Systems ezen írásáról, melyben egy Full-Doisclosure-re érkezett IE DoS probléma kódfuttatásra történő kiterjesztését mutatják be. Akkor a sablon leírások miatt még nem volt egyértelmű, hogy ez a…

A Microsoft rekordmennyiségű javítást hozott a fa alá, és elmondhatjuk, a javított sebezhetőségek minőségére sem lehet panasz:MS10-090: Hét Internet Explorert érintő hiba javítása, köztük a november eleje óta nyilvános exploittal "rendelkező" SetUserClip()…

A Verzion most megjelent tanulmányában egy frappáns módszert közöl az Internet Explorer 7-ben bevezetett Védett Mód (Protected Mode) megkerülésére. A Védett Mód egy "megerősítő" technológia, melynek célja, hogy meggátolja, hogy a böngészőexploitokkal rendelkező…

Régen volt szó Internet Explorert érintő 0day fenyegetettségekről, mostanában az Adobe Reader a sláger. A monotóniát most egy, a Symantec által felfedezett kártevő töri meg, melyben egy eddig ismeretlen IE sebezhetőséget alkalmaztak a támadók. A probléma a böngésző 6-os, 7-es…

trey@HUP:Chris Evans, Google egyik biztonsági szakértője a full disclosure levelezési lista nyilvánosságához fordult [hivatkozás tőlem] egy eddig még javítatlan Internet Explorer 8 buggal kapcsolatban. Levele szerint azért tette ezt, mert eddig sikertelenül próbálta rávenni a…

Íme a júniusi adag:MS10-032: Három kernel módú driver javítása. A sebezhetőségek lehetővé teszik, hogy speciális TrueType karakterkészletek vagy ablakok létrehozásakor megadott speciális callback függvények segítvégével jogosultságkiterjesztést érjünk el bármely Windows…

A Microsoft olyan régen jelentette be, hogy egy eddig javítatlan hibát kihasználó támadások vannak folyamatban az Internet Explorer 6-os és 7-es verzióival szemben, hogy úgy kellett visszakeresnem az archívumot, hogy megtaláljam a saját vonatkozó posztomat. De a javítás néhány…

Az idei Pwn2Own sem okozott túl nagy meglepetést: a versenyen felvonultatott böngészők közül egyedül a Google Chrome-ot nem sikerült megtörni, igaz, senki nem is próbálkozott vele. Charlie Millernek szokás szerint nem okozott gondot a MacBook-on futó Safari, Apple oldalról…

Ma kijött a Microsoft márciusi javítócsomagja, ami annyira soványka lett, hogy lehet, hogy nem is fogok írni róla (egy-egy bullettin jött az Excel-re és a Movie Maker-re). Ami viszont sokkal érdekesebb, hogy a javításokkal együtt kijött egy biztonsági figyelmeztető is, melyben a cég…