Az Adobe kiadta szokásos negyedéves frissítőcsomagját a Reader és Acrobat termékekhez. A frissítés számos kódfuttatásra alkalmas hibát javít, köztük a Lockheed-Martinhoz (a forrást a közlemény is megerősíti) legutóbb bebombázott, a termékek 9-es főverziójában már…

Az év első fekete keddjén a Microsoft nem gurított különösen nagyot - az igazán félelmetes .NET sebezhetőséget még decemberben kivégezték.MS12-001: Windows XP SP3-on kívül minden támogatott operációsrendszer verzióban javítani kellett egy SafeSEH "megkerülésre"…

 Mégiscsak meglett a 100! A Microsoft kiadta az MS11-100 jelű javítócsomagot, melyben a tegnap tárgyalt DoS sebezhetőség mellett három másik problémát javítanak az ASP.NET keretrendszer Forms Authentication komponensében - emiatt a javítás besorolása kritikus! Az első ezek…

P küldte a hírt, közben pedig a Full-Disclosure-n is megjelent, hogy a Ubiquiti eszközein alkalmazott AirOS rendszerben távolról kihasználható, root jogosultságot adó hibát azonosítottak, melyet automatizált módon ki is használ egy féreg. A problémát egy autentikáció nélkül…

 Rég volt ilyen sűrű az év vége a környékemen, de szerencsére megvan az előnye annak is, ha egy kicsit nagyobb késéssel számolok be a Microsoft havi foltáradatáról, nevezetesen, hogy nem kell publikáció után 10 percenként frissíteni a posztot, mivel már rendelkezésre áll…

Nagyjából két hónapja írtam egy lehetőségről a mod_rewrite-tal működő reverse proxy-k kijátszására. Az Apache akkor hibajavítást adott ki a helyzet orvoslására, ami azonban úgy tűnik, nem sikerült tökéletesen. Joe Orton felfedezte, hogy a következő kérésekkel még mindig…

Szépen lassan minden nagy gyártó hozzá igazodik a Microsoft frissítési ciklusaihoz. Tegnap az Adobe is megjelentetett a javítócsomagot a Shockwave Playerhez, melyben négy kritikus, kódfuttatást lehetővé tevő problémát javít.  Az egyik, .dir fájlok feldolgozásából adódó…

MS11-083: Rögtön egy izgalmas darab, nagy mennyiségű, speciálisan összeállított UDP csomagot küldve egy zárt portra kernel módú kódfuttatás érhető el. Egy referenciaszámláló csordítható túl ilyen módon, ennek következtében pedig bizonyos struktúrák idő előtt…

Megjelent a Tor legújabb változata, amely több anonimitást érintő biztonsági problémát orvosol, ezért mindenkinek javasolt a frissítés. A most javított problémáknak nincs köze a francia ESIEA kutatói által bejelentett, felhype-olt támadáshoz, a veszély ebben az esetben viszont…

Az Apple tegnap és ma számos frissítést tett közzé különböző termékeihez, köztük az OS X-hez, a Safarihoz és az iOS-hez. A több száz hibajavítás között találunk foltott két éves BIND hibára, de olyan újdonságnak számító változtatások is bekerültek a csomagba, mint a…

Beköszöntött a hideg, de a Microsoft egy nagy adag frissítéssel gondoskodik róla, hogy égjen a kezünk alatt a munka. A szokásos javítócsomagok mellett megjelent a Microsoft Security Intelligence Report legfrissebb kiadása is, melynek tanúsága szerint a támadások 99%-a még mindig…

 Az Adobe tegnap rendkívüli frissítést adott ki a Flash Player 10-es főverziójához, melyben összesen hat hibát javítanak, melyek közül egyet aktívan kihasználnak célzott, és feltehetően valamely állam által szponzorált támadásokhoz. Utóbbi hiba kissé meglepő módon egy…

10.0-ás CVSS pontszámot érdemlő, kritikus sérülékenységeket javítottak a BlackBerry Enterprise Server-ben. A sérülékenységek a termékben felhasznált, külső gyártótól származó illetve nyílt-forrású szoftverekből származnak, és a PNG valamint TIFF fájlok feldolgozását…

A múlt hónap laza volt, az idei kevésbé az: MS11-057: Öt hibajavítás az Internet Explorer összes támogatott verziójához. Természeretesen mindegyik javított sebezhetőség távoli kódfuttatásra adhat lehetőséget. A javított hibák között szerepel Stephen Fewer egyik…

Az iOS 4.3.5-ös illetve 4.2.10-es verzóiban egy olyan X.509 tanúsítványok kezelésével kapcsolatos problémát javítottak, melynek első változatát kilenc éve az Internet Explorerrel kapcsolatban fedezte fel Moxie Marlinspike. A probléma oka, hogy az operációs rendszer…

A júliusi kánikulában a Microsoft szerencsére nem sok izzadásra ad okot: MS11-053: Ha Harry Potter hacker lenne, Bluetooth lenne a varázspálcája. Windows 7-en és Vistán ugyanis a kékfog stack hibája "nem túl távoli" kódfuttatást tesz lehetővé - a driver hibájának…

Ahogy az előző posztban már említettem, tegnap az Adobe is kiadott egy rakat frissítést. Mivel azonban a nyilvános tanácslatok nem túl bőbeszédűek, a ZDI-11-200 - 222 tanácslatokat érdemes átnézni, elég jó infók nyerhetők ki a konkrét hibákról…

Izgalmas nap volt a tegnapi, a Microsoft és az Adobe is nagyot frissített, következzen először is az előbbi gyártó javítás-listája:MS11-038: Az OLE Automation rosszul kezeli a WMF fájlokat, ami kódfuttatásra ad lehetőséget speciálisan összeállított weboldalakon keresztül. A…

Ellopták 200.000 észak-amerikai ügyfél adatát a Citibanktól. Az elmúlt hetek-hónapok történései után ez már-már egy jelentéktelen kis ügynek tűnhet - csak a számlaszámok és a kontaktinfók kerültek ki, a CVV-k és a TB-számok nem - de azért mégis csak egy világméretű…

Az Oracle kiadta rendszeres, júniusi Java frissítését. Bár a közlemény szokásosan szűkszavú, azt azért érdemes megjegyezni, hogy a 17 hibajavítás közül 9 még az általában optimistán számolgató Oracle-től is megkapta a maximális, 10.0-ás CVSS bázispontot. Ez nagyjából…

Az Adobe frissítette a Flash Player 10-es vonalának Windowsra, Mac-re, Linuxra és Solarisra szánt változatait, így javítva egy aktívan kihasznált XSS hibát. Az androidos változat a héten frissül. A hiba kihasználásával a támadó a célpont felhasználó nevében hajthat végre…

 Az Apache Software Foundation kiadta a népszerű webkiszolgáló 2.2.18-as változatát, ami egyebek mellet egy DoS sebezhetőséget is orvosol (vonatkozó CERT-HU hibajegy). A probléma az Apache Portable Runtime apr_fnmatch() metódusában jelentkezik, mikor a mod_autoindex modul…

 A Microsoft ebben a hónapban kegyes volt hozzánk, és csak két frissítőcsomagot adott ki. Ezek közül az egyik (MS11-036) egy már-már unalmas PowerPoint hibát javít, a másik (MS11-035) viszont egy szaftos, autentikáció nélkül kihasználható WINS sebezhetőséget, érintve a…

Az Oracle kiadta legújabb rendszeres CPU-ját, mellyel több mint negyven sebezhetőséget orvosolnak különböző termékekben. Most azonban nem a javított hibákat szeretném sorba venni, hanem csak egy már lefutott és egy jövőbeli előadásra szeretném felhívni a figyelmet.Az egyik Chris…

Nem lustálkodtak a Microsoftnál az elmúlt egy hónapban, kereken 0b100000 egyedi sebezhetőség került javításra, 0b10001 bulletinben.MS11-018: Öt hibát, köztük a Pwn2Own-on használtak egyikét javító csomag az Internet Explorerhez. A sebezhetőségek közül többet kihasználtak már…