Te jóságos ég, hogy repül az idő! Szerencsére a tavaszi zsongásba (a fagyos szélben állva csak arra gondolok, milyen jó meleg lehet a otthon, a monitor előtt) nem zavar be jelentősen az ehavi MS frissítés, a három hibából kettő ugyanis egy-egy szimpla DLL hijacking sebezhetőség…

Nos, a legutóbbi microsoftos hibaösszesítővel nem ért véget a foltozandó szoftverek sora, tegnap ugyanis egész frissítéscunami materializálódott a virtuális térben (ez vajon kellően cypberpunk volt?). Az Adobe például frissítést adott ki a Shockwave és Flash Playerekhez, a…

A  Ruby kedvelt levelező gem-jének 2.2.15 kritikus biztonsági hibát javít, amely lehetővé teszi, hogy speciális e-mail paramétereket megadva parancsokat hajassunk végre az alkalmazást futtató számítógépen. A kiadott patch-ből jól látszik, hogy sendmail használata esetén a…

 Az év első firssítőcsomagja kevés izgalmat tartogat, viszont annál többet hagy maga mögött: ezzel a csomaggal sem a Graphics Rendering Engine problémája, sem a cross_fuzz által feltárt IE sebezhetőség(ek) nem kerülnek javításra. A CSS stíluslapok feldolgozását érintő…

A ProFTPd csapata elkészítette a kiszolgáló 1.3.3d verzióját, melynek kiadási megjegyzései szerint javításra került a Phrack#67-ben* közölt mod_sql sebezhetőség. Bár a megjelent cikk alapján nem volt egyértelmű, hogy a sebezhetőség kihasználható maradt-e az 1.3.3c-ben, a…

A Microsoft rekordmennyiségű javítást hozott a fa alá, és elmondhatjuk, a javított sebezhetőségek minőségére sem lehet panasz:MS10-090: Hét Internet Explorert érintő hiba javítása, köztük a november eleje óta nyilvános exploittal "rendelkező" SetUserClip()…

A Microsoft ebben a hónapban megkímélt a körmöléstől. Csupán három, nem túl izgalmas bulletint tartalmaz az ehavi frissítés:MS10-087: Öt hiba javítása az Office különböző változataiban. Ezek közül a legsúlyosabb a Word 2007-et, ezen keresztül pedig az Outlook 2007-et is…

Kijött az Adobe előrehozott októberi frissítőcsomagja, amely javítja az utóbbi hetekben feltűnt kritikus biztonsági hiányosságokat. Frissíteni kötelező. A következő negyedéves adag februárban jön, de nem fizetnek jól a bukmékerirodák azoknak, akik fogadnának még egy idei…

Fogadjátok szeretettel a Microsoft rekorddöntögető frissítőkeddjének összefoglalóját, majdnem ínhüvelygyulladást kaptam mire a végére értem...   MS10-046: A speciális ikonokon keresztül kihasználható Windows Shell probléma javítása a Windows összes támogatott…

 A Microsoft kiadott egy gyorsjavítást az elsősorban hordozható adathordozókon keresztül terjedő kártevők számára hasznos Windows Shell problémára. A javítás az eredeti tanácslatban is javasolt elkerülő megoldás automatizált megvalósítássa, amely  a registry…

MS10-042: A Tavis Ormandy-féle Windows Help and Support Center probléma javítása. A felfedező sikertelenül próbált kicsikarni egy két hónapos javítási határidőre vonatkozó ígéretet a cégtől, de lám, a nyilvánosságrahozatal után 33 nappal máris kész a folt!MS10-043: A Windows…

Nem rég érkeztek meg a népszerű Firefox böngésző 3.6.4-es és 3.5.10-es változatai, melyek több kritikus besorolású sebezhetőség javítását tartalmazzák. Ezek kihasználásával tetszőleges kód futtatható a régebbi böngészőváltozatokat futtató felhsználók…

Az Apple ismét méretes frissítéscsomagot szállított az OS X felhasználók számára. A bérelt hellyel rendelkező CUPS és ImageIO komponensek mellett a javításban helyet kaptak a Kerberos protokollt, illetve a hálózati autentikációt megvalósító részek javításai is, a javított…

Az Adobe mára ígéri a javítást a nem rég felfedezett, jelenleg is aktívan kihasznált Flash sebezhetőségre. Ugyanakkor a szintén érintett Reader és Acrobat termékekhez csak június 29-én fog javítás érkezni.Mivel ezek az alkalmazások is folyamatosan támadás alatt állnak, a…

Íme a júniusi adag:MS10-032: Három kernel módú driver javítása. A sebezhetőségek lehetővé teszik, hogy speciális TrueType karakterkészletek vagy ablakok létrehozásakor megadott speciális callback függvények segítvégével jogosultságkiterjesztést érjünk el bármely Windows…

A Microsoft ebben a hónapban két bulletint adott ki:MS10-030: Távolról kihasználható sebezhetőség az Outlook Express, Windows Mail, Windows Live Mail szoftverekben. A probléma speciális POP3 és IMAP válaszok segítségével használható ki, tehát a célpontokat vagy rá kell venni,…

Na, erről beszéltem:Nicolás Economou, a Core Security munkatársa az MS10-024-es jelű Microsoft javítócsomagot elemezve két csendben javított problémába botlott az Exchange és az SMTP szolgáltatás DNS protokoll-megvalósításában. Egészen konkrétan a két szoftver inkrementális…

A különböző gyártók összehangolt patch-stratégiáinak köszönhetően ezen a héten annyi javítás érkezett, hogy alig férnek be a feedolvasómba, ráadásul az Ethical Hacking konferenciára is gyúrnom kellett, szóval eléggé el vagyok úszva. először a Microsoft legújabb…

A héten annyi frissítés érkezett különböző széles körben elterjedt szoftverhez, hogy nem győztem követni, álljon itt most egy rövidebb összefoglaló ezekről:A Sun Oracle biztonsági frissítést adott ki a Java Runtime Environmenthez és a Development Kithez, melyben több súlyos…

A Microsoft olyan régen jelentette be, hogy egy eddig javítatlan hibát kihasználó támadások vannak folyamatban az Internet Explorer 6-os és 7-es verzióival szemben, hogy úgy kellett visszakeresnem az archívumot, hogy megtaláljam a saját vonatkozó posztomat. De a javítás néhány…

Az OpenSSL fejlesztőcsapata olyan hibát fedezett fel a szoftver 0.9.8f-0.9.8m változataiban, amely szolgáltatásmegtagadást eredményezhet a kliens és szerver végpontokon. A probléma bizonyos TLS rekordok helytelen feldolgozásából adódik, és NULL-ról olvasást eredményez. A…

Régen volt már linuxos poszt, de most szerencsére érkezett javításra került két jópofa hiba a Todd Miller féle sudo-ban, amit többek között a Debian, az Ubuntu, a Red Hat és a Mandrake is használ.Az egyik hiba valószínűleg egyszerű figyelmetlenségből adódott: a sudoers fájlban…

Kicsit le vagyok maradva, de jobb később, mint soha: történt néhány érdekesség a PHP háza táján az utóbbi időben.Megjelent a PHP 5.2.13, ami több biztonsági hiányosságot is orvosol. Konkrétan a régebbi változatokban a safe_mode-ot lehet kikerülni a tempnam() függvény…

A Mozilla tegnap kritkus besorolású javítócsomagot adott ki a Firefox böngésző 3.5-ös és 3.0-as szériáihoz. A frissítés három távolról kihasználható (MFSA-2010-01, MFSA-2010-02,MFSA-2010-03), kódfuttatásra alkalmas sebezhetőséget és két kisebb, XSS-re alkalmat adó…

Az Adobe ma két kritikus sebezhetőséget javított a Reader és Acrobat szoftverekben. Az egyik sebezhetőség böngészőbe épült használat esetén lehetővé tette a cross-domain policy áthágását, míg a másik illetéktelen kódfuttatást tett lehetővé (hogy hogyan, arról nem szól az…