Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


Java 7 0day - Frissítve

2012.08.27. 15:13 | buherator | 30 komment

Ma reggel egy vadiúj Java 7-et érintő 0day exploitról érkeztek hírek. A problémát az ok.aa24.net-en jelenleg is aktívan kihasználják kártékony kódok terjesztésére. Mint minden jóra való Java exploit, ez is igen megbízhatóan működik tetszőleges platformon, az Oracle…

Címkék: java 0day metasploit

Hírek - 2012/22.hét

2012.06.10. 22:30 | buherator | 1 komment

Mesterhármas A héten megpukkantották ((c) Breach :) a LinkedIn üzleti közösségi oldal, az eHarmony társkereső és a Last.fm közösségi rádió felhasználói adatbázisainak jelentékeny részét, összesen mintegy 17 millió jelszó hash-t téve közkinccsé. A helyzet még szomorúbb,…

Címkék: microsoft firefox hírek java patch last.fm adobe incidens linkedin postgresql oracle sandbox eharmony

Hírek - 2012/14. hét

2012.04.09. 10:34 | buherator | 4 komment

China National Import & Export Corp Egy Hardcore Charlie nevű figura állítólag bejutott a China National Import & Export Corp (CEIEC) kínai haditechnikai beszállító rendszerébe, ahonnan több ezer dokumentumot zsákmányolt. Extra érdekesség a történetben, hogy a kínaiaktól…

Címkék: apple hírek java bukta incidens deface anonymous google chrome lulzsec medicaid ceiec hardcore charlie

Mac-es kártevők márpedig vannak

2012.04.04. 16:00 | buherator | Szólj hozzá!

Bár többségük feltehetően nem tud róla, az OS X felhasználók izgalmas napokat élnek mostanában. A Lamadai/Flashback kártevő kifejezetten almás gépekbe próbálja berágni magát Javán keresztül, ami még nem is lenne akkora baj, ha lenne elérhető folt a problémára, de sajnos…

Címkék: java malware os x

Java és Shockwave Player frissítések

2012.02.15. 11:33 | buherator | Szólj hozzá!

Az Adobe és az Oracle is frissített tegnap, előbbi a Shockwave és RoboHelp for Word termékeket (előbbiről lesz szó ebben a posztban), utóbbi pedig a Java futtatókörnyezetet.  A Shockwave Playerben összesen kilenc memória korrupciós hibát javítottak, ezek mindegyike kritikus. A…

Címkék: java patch adobe oracle shockwave player

Apache Struts sebezhetőségek

2012.01.06. 18:57 | buherator | 3 komment

Az Apache SF nem rég kiadta a Struts keretrendszer legfrissebb, 2.3.1-es változatát, amely több kritikus, akár kódfuttatásra alkalmas hibát orvosol. Ezekről részletes leírást adott ki a SEC Consult illetve szintén értékes információkhoz juthatunk velük kapcsolatban Johannes Dahse…

Címkék: java bug apache struts ognl xwork

Ütközések II. - HTTP kiszolgálók hash-táblái

2011.12.28. 20:00 | buherator | 3 komment

Az n.runs szakértői egy webkiszolgálók és futtatókörnyezetek széles körét érintő, szolgáltatásmegtagadásra lehetőséget adó problémára hívták fel a figyelmet. A problémát a HTTP paraméterek belső adatstruktúrákká (pl. PHP-ban a $_POST asszociatív tömbbé) történő…

Címkék: microsoft google java php apache python asp.net tomcat oracle dos plone geronimo cruby jruby

Java exploit a vadonban

2011.11.30. 23:22 | buherator | 1 komment

A legutóbbi Open Academy-n is igyekeztem hangsúlyozni, hogy milyen remek dolog is egy Java sebezhetőség - bizonyos szempontból a platformfüggetlenség és a megbízhatóság a tervezési hibák esetében jobban érvényesül, mint bármilyen hétköznapi alkalmazás esetében... Mindezt…

Címkék: java bug malware

Pwnie Awards 2011 - CVE-2010-4452

2011.07.25. 14:58 | buherator | 2 komment

Lezárult az idei Pwnie Awards nevezési időszaka, a hivatalos weboldalon megtekinthetők a jelölések. Az idei mezőny igen erős, és bár a szervezők kommentjei önmagukban is megérnek egy misét, érdemes végignézni a jelölteket részletesebben is. Néhányukról már volt szó, az…

Címkék: java pwnie awards

Java frissítések érkeztek

2011.06.08. 10:42 | buherator | Szólj hozzá!

Az Oracle kiadta rendszeres, júniusi Java frissítését. Bár a közlemény szokásosan szűkszavú, azt azért érdemes megjegyezni, hogy a 17 hibajavítás közül 9 még az általában optimistán számolgató Oracle-től is megkapta a maximális, 10.0-ás CVSS bázispontot. Ez nagyjából…

Címkék: java patch oracle

Privilegizált kontextusban ne deszerializálj!

2011.03.11. 16:57 | buherator | 7 komment

szerializáció (programozás): egy objektum soros formában (tipikusan karakterláncként) történő megjelenítése Sami Koivu megint publikált egy sor kellemetlen módszert a Java  applet sandboxból történő kitörésre. Ezek közül kettő a vágólapon található adatokhoz enged…

Címkék: java programozás

Az idő vas foga és önarccsapás-hegyek

2011.02.09. 23:00 | buherator | 7 komment

Nos, a legutóbbi microsoftos hibaösszesítővel nem ért véget a foltozandó szoftverek sora, tegnap ugyanis egész frissítéscunami materializálódott a virtuális térben (ez vajon kellően cypberpunk volt?). Az Adobe például frissítést adott ki a Shockwave és Flash Playerekhez, a…

Címkék: microsoft java patch bug adobe ibm hp oracle sco ca novell emc zdi

A PHP és a Java közös pontja

2011.02.01. 18:33 | buherator | 17 komment

 ... mindkettő beledöglik a  2.2250738585072011e-308 számba. (-1) küldte a hírt, hogy a január elején itt is szóba került PHP problémához kísértetiesen hasonlót fedeztek fel a legújabb java futtatókörnyezetben és a fordítóban is! Az ExploringBinary cikke a következő…

Címkék: java bug dos

Javocalypse

2010.04.10. 16:26 | buherator | 18 komment

Trey már megírta a lényeget a HUP-on: Julien Tinnes, a Google biztonsági csapatának tagja - tegnapi blogbejegyzésében arról ír, hogy Sami Koivu egy évvel azután, hogy egy rakás Java-val kapcsolatos biztonsági hibát hozott napvilágra, újra egy csokor buggal jelentkezett. De nem csak…

Címkék: java

Frissítéshegyek

2010.04.03. 13:27 | buherator | Szólj hozzá!

A héten annyi frissítés érkezett különböző széles körben elterjedt szoftverhez, hogy nem győztem követni, álljon itt most egy rövidebb összefoglaló ezekről:A Sun Oracle biztonsági frissítést adott ki a Java Runtime Environmenthez és a Development Kithez, melyben több súlyos…

Címkék: firefox apple java patch mozilla os x oracle

Hétfői hírek

2009.09.07. 11:30 | buherator | Szólj hozzá!

Az Apple javítócsomagot adott ki a Mac-es Java implementációkhoz. A 15 javítást tartalmazó frissítés több távolról kihasználható, illetéktelen kódfuttatásra lehetőséget adó problémát orvosol, ezért minden érintett számára ajánlott a mihamarabbi frissítés. A Wordpress.org…

Címkék: microsoft apple hírek java patch wordpress ftp 0day

Java Javítás Márkás Mac-ekre

2009.06.16. 12:21 | buherator | Szólj hozzá!

trey@HUP: Május közepén volt szó itt a HUP-on arról, hogy a Mac OS X-ben található Java for Mac OS X csomagban kritikus, tetszőleges kódfuttatásra alkalmat adó sebezhetőség van és ezt az Apple hónapok alatt sem volt képes javítani. Az Apple most - körülbelül hat hónappal…

Címkék: apple java patch os x

Hónapok óta javítatlan, kritikus Mac OS X Java sebezhetőség

2009.05.21. 16:26 | buherator | 1 komment

 trey@HUP:   Landon Fuller arról vált szélesebb körben is ismertté, hogy megpróbált minél hamarabb patch-eket készíteni 2007. januárjában a Month of Apple Bugs figyelmeztetőkben publikált hibákra. A biztonsági szakember most arról ír blogjában, hogy öt…

Címkék: java bug os x 0day

Súlyos Java sebezhetőségek (frissítve)

2009.03.26. 21:03 | buherator | Szólj hozzá!

A JDK és JRE 5-ös szériájának unpack200 programjában található integer túlcsordulás probléma lehetőséget ad arra, hogy speciális JAR archívumok segítségével rosszindulatú kódot futtassunk az árintett verziókat futtató számítógépeken. A sebezhetőség elvileg akár…

Címkék: java patch sun

Mennyire vagy anonim?

2008.12.27. 17:55 | buherator | 7 komment

Magánszféránk illetve altestünk védelme érdekében gyakran szükségünk lehet rá, hogy pl. proxyk mögé bújva rejtsük el IP címünket a kíváncsi szemek elől. Ez a feladat azonban nehezebb, mint aminek látszik!A Metasploit Project legúabb "terméke" egy Decloaking Engine…

Címkék: itunes java privacy proxy dns quicktime tor decloak

Újabb Java hibák

2008.12.05. 10:39 | buherator | 2 komment

Az iDefense kutatói több túlcsordulálsos hiábt fedeztek fel a Java Runtive Environment (JRE) és a Java Web Start (JWS) egyes változataiban. A sebezhetőségek távoli kódfuttatást tesznek lehetővé az érintett rendszereken, amennyiben az áldozat egy speciálisan elkészített weboldalra…

Címkék: java bug jws jre

Java Web Start távoli kódfuttatás

2008.12.04. 13:52 | buherator | Szólj hozzá!

A Virtual Security Research kutatói a Java Web Starton keresztül távoli kódfuttatásra lehetőséget adó sebezhetőséget fedeztek fel a Java futtatókörnyezet egyes verzióiban.  A Java Web Start lehetőséget ad a felhasználóknak, hogy böngészőjükön keresztül Java…

Címkék: java bug jws

GoogleCode jelszó lenyúlása

2008.04.04. 21:42 | buherator | Szólj hozzá!

Billy Rios legújabb munkája a GoogleCode egy igen kellemetlen hiányosságára hívta fel a figyelmet. A GoogleCode egy SourceForge-hoz hasonló projekt-hoszting szolgáltatás nyílt forráskódú alkalmazások számára verziókezeléssel, hibajelentő felülettel stb. A hibajelentésekhez…

Címkék: google java bug

Pwnie díj - jelöltek

2007.07.31. 21:58 | buherator | Szólj hozzá!

Nyilvánosságra hozták a Pwnie díj jelöltjeit: Legjobb szerver-oldali hiba Sendmail - versenyhelyzet a jelzéskezelésben - Mark Dowd A legjobbak azok a hibák, amiről a gyártó azt állítja, hogy kihasználhatatlanok, amíg egy élelmes kutató be nem bizonyítja az ellenkezőjét.…

Címkék: firefox safari java iphone móka internet explorer worm solaris pwnie awards quicktime openssl openbsd

Firefox - bezárhatatlan Java popup

2007.07.29. 12:19 | buherator | Szólj hozzá!

A kötekező nyalánkságot Ronald találta. Egyszerűen arról van szó, hogy a Firefox nem szűri úgy a beágyazott Java kódot mint a Javascriptet, ezért lehetőség nyílik "popup" ablakokat megjeleníteni a felhasználó beleegyezése nélkül. Valójában azonban ezek nem is…

Címkék: firefox java popup

süti beállítások módosítása