Fájdalmas sebek:MS09-06: Távoli kódfuttatásra lehetőséget adó hiba a Windows XP, Vista, 2000, 2003, 2008 rendszereken (utóbbit x86 és x64 architektúrákon alapértelmezett beállítások mellett nem érinti olyan súlyosan a probléma). A probléma speciálisan összeállított, pl.…

Jövő héten esedékes a Microsoft márciusi frissítőcsomagjának kiadása, de a tegnap megjelent előzetes közlemény szerint a javítócsomag nem fogja orvosolni azt az aktívan kihasznált Excel sebezhetőséget, melyet a Symantec kutatói fedeztek fel múlt hónap végén. Ez valószínűleg…

A 3.0.7-es verzióval a Mozilla 8 biztonsági problémát javított a Firefox webböngészőben:MFSA-2009-07: Ez az azonosító négy különböző hibát fed le, melyek közül több is olyan memóriaterületek írását teszi lehetővé, melyre a folyamatnak nem lenne joga, ezért a…

Tegnap megjelent a népszerű PHP szkriptmotor 5.2.9-es verziója, amely néhány biztonsági problémát is orvosol. Ezek közül a legfontosabb egy, az imagerotate() függvényt érintő sebezhetőség, amely a háttérszín nem megfelelő validálásának következtében alkalmat ad arra, hogy a…

Az interneten futó SSH kiszolgálók 80%-án futó OpenSSH legújabb verziója tegnap jelent meg. Az 5.2-es változat biztonsági fejlesztéseket kapott a már bemutatott nyílt-szöveg visszaállításra (alméletben) alkalmas támadással szemben, így már 2^(-18) eséllyel sem lehet…

Ha rosszindulatú támadók aktívan kihasználnak egy foltozatlan Adobe Reader biztonsági rést, a gyártó pedig márciusig még csak nem is ígér javítást, egyedül egy hacker képes segítő kezet nyújtani a védtelen júzereknek:Lurene Grenier, a Sourcefire szakértője kiadott egy…

Az idei év első almás frissítőcsomagjából a ClamAV, a CoreText, és a Safari távoli kódfuttatásra alkalmas hibái érdemelnek kiemelt figyelmet:A ClamAV speciális .VBA kiterjesztésű fájlok esetében produkál heap overflow-t, így magával a víruskeresés fogja a káros kód…

A szokásos Microsoft frissítőnap újításai a következők:Két távoli kódfuttatásra alkalmas hiba került foltozásra az Internet Explorerben Szintén két hiba került javításra az Exchange szerverben. Az első sebezhetőségez egy speciális, TNEF típusú üzenet küldésével…

Depth jóvoltából elkészült az nmap proxy patch újabb, tesztelésre szánt változata, melyet letölthettek innen. Tudnivalók első kézből:A folt elsődleges megvalósítási célja a pentest melók segítese, nem az, hogy mindenki orrba-szájba scanneljen vele.Miket tud a program:Támogatja…

Nem sokkal azután, hogy a Tor projekt fejlesztő kigyomlálták mind a 171 Coverity által jelzett hibát az anonimizáló szoftverből, ma egy újabb frissítés látott napvilágot, amelyről csak annyit lehet tudni, hogy a heap-pel történő játszadozást tesz lehetővé. A hivatalos…

Az Apple QuickTime ezévi első frissítőcsomagjában 7+1 javítás található, melyek nagy része speciálisan összeállított fájlok illetve URL-ek segítségével kódfuttatásra lehetőséget adó problémákat küszöbölnek ki:CVE-2009-0001: Heap overflow az RTSP protokollú URL-ek…

A ma megjelent Drupal frissítések biztonsági szempontból elsősorban a 6-os főverziót érintik: A tartalomfordító modul eddig lehetővé tette a modul használatára jogosultakat, hogy olyan tartalmakhoz férjenek hozzá, melyhez egyébként nem lenne joguk. A másik sebezhetőség…

Az Oracle idei első javítócsomagjában összesen 41 sebezhetőséget javít, melyek közül 20 érinti a vezető adatbázis ágazat termékeit.  Az Oracle adatbázisszervert és kliensét érintő 10 sebezhetőség közül egy sem használható ki távolról, autentikáció nékül,…

A Microsoft ebben a hónapban egy szerény frissítőcsomaggal állt elő, amely egy kötegben három, az SMB protokoll kezelését érintő problémát javít. A három folt a CVE-2008-4834, CVE-2008-4835, és a CVE-2008-4114 jelű sebezhetőségeket orvosolja. Ezek közül az első kettő…

<buherator> Harsonaszó, dobpergés: Az alábbiakban reménybeli szerkesztőtársam, N1gg@ első szárnypróbálgatását olvashatjátok. Fogadjátok szeretettel, és adjatok sok visszajelzést, hogy minél több és jobb poszttal szolgálhassunk a továbbiakban!Miután az elmúlt hónapban…

Nagyjából 12 órája megjelent az Internet Explorer 0dayt javító folt a Microsoft gondozásában. Közben több mint 100.000 weboldalba injektálták kifejezetten erre a sebezhetőségre kihegyezett exploitot, így egyes véleményekkel ellentétben azokat a felhasználókat is veszély…

A Mozilla is kiadott egy biztonsági frissítést böngészőihez, amely a Firefox 2-es szériájának utolsó javítását tartalmazza, a második generáció támogatása ez után meg fog szűnni. Ezen kívül érdemes megemlíteni, hogy ez az update kiöli a kettes szériából az…

Az Opera "erősen ajánlott" biztonsági frissítést tett közzé böngészőjének asztali operációs rendszerekre szánt változataihoz. A legsúlyosabb problémát a szöveges beviteli mezőkkel, HTML feldolgozással, és a file: URI kezelővel kapcsolatos puffer túlcsordulásos…

Nem csak az új illetve javított fícsörök, és a már említett, tetszőleges telefonszám távoli tárcsáztatására alkalmas sebezhetőség miatt érdemes a 2.2-es iPhone firmware-re frissíteni: Az új szoftver összesen 12 darab hibajavítást tartalmaz, melyek közül több távoli…

Sok kritika éri a Microsoftot sokszor nem kifejezetten gyors javítási ütemezése miatt. Most azonban nem lehet panasz a sebességre: a Windows 7-re még az első, szűk körben kiadni kívánt pre-beta verzió megjelenése előtt kijött az első folt. Az új operációs rendszer első…

Legalábbis ami a közelmúlt és -jövő hibajavításait illeti: Az Apple 11 hibát foltozott be a QuickTime legfrissebb biztonsági frissítésével, amivel a lejátszó a 7.4.5-ös verzióra emelkedik. A hibák közül kilenc alkalmas arra, hogy speciális médiafájlok segítségével…

Az itt is bemutatott kritikus Excel sebezhetőségre nem rég kiadott hivatalos javítás úgy tűnik nem sikerült hibátlanul: az Excel 2003 ugyanis bár a javítás hatására megszabadul a javítani kívánt sebezhetőségtől azonan olyan, a felhasználó által létrehozott Visual Basic…