Artykuły dotyczące tematu: poprawki

dodany: 09.07.2013 | tagi: , , ,

Wtorkowy biuletyn bezpieczeństwa Microsoftu

1

Microsoft jak co miesiąc przedstawił tradycyjnie nowy biuletyn bezpieczeństwa. W lipcowym zestawie naprawiono łącznie aż 6 błędów krytycznych, natomiast jedna poprawka ma status ważny.

Biuletyn MS13-052 dotyczy słabości w platformie .NET Framework oraz Silverlight. Dotychczasowe luki w zabezpieczeniach pozwalały na zdalne wykonanie kodu. Aktualizacji powinni dokonać użytkownicy wszystkich systemów Windows.

MS13-053  jest w zasadzie najbardziej instotny, gdyż dotyczy błędów we wszystkich kernelach systemów Windows – luki te pozwalają także na zdalne wykonanie dowolnego kodu. Odnaleziono łącznie 8 słabości. W przypadku udanego eksploita możliwe jest całkowite przejęcie kontroli nad atakowanym systemem. Niestety instalacja poprawki wymaga restartu systemu.

Zestawem MS13-054 powinni się zainteresować  w zasadzie wszyscy użytkownicy systemów Windows, ale także Microsoft Office, Microsoft Lync i Microsoft Visual Studio. Słabość zawarta w API GDI+ pozwalała na uruchomienie dowolnego kodu, o ile ofiara przeglądała udostęponioną spreparowaną czcionkę TrueType.

MS13-055 to zestaw poprawek dla przeglądarek Internet Explorer – jeśli używamy jakiejkolwiek wersji IE, to powinniśmy zainstalwać te łatki, gdyż w przypadku odwiedzenia spreparowanej strony także możliwe jest zdalne wykonanie dowolnego kodu. Niestety pakiet ten wymaga także restartu systemu.

MS13-056 jest także adresowana do wszystkich użytkowników Windows. Tym razem luka pozwalała na dowolne wykonanie kodu, pod warunkiem, że ofiara otworzyła spreparowany plik graficzny. W przypadku udanego ataku możliwe było zdalne uzyskanie przywilejów lokalnie zalogowanego użytkownika. Problem tkwił konkretnie w Microsoft DirectShow.

Podobną słabość usuwa MS13-057 – w tym wypadku sprawa tyczy się formatu Windows Media – tak samo jak w poprzedniej luce wymagane jest uruchomienie przez ofiarę spreparowanego pliku. Atakujący w przypadku powodzenia operacji zdobywał takie same uprawnienia co lokalnie zalogowany użytkownik.

Ostatni biuletyn MS13-058 ma status ważnego i dotyczy wyłącznie użytkowników oprogramowania Windows Defender. Dotychczasowa luka pozwalała na podniesienie uprawnień. Problem ten dotyczy wyłącznie wersji dla systemów Widnows 7 oraz Server 2008 R2. Na szczęście poprawka ta nie wymaga ponownego uruchomienia komputera.

dodany: 08.07.2013 | tagi: ,

Linux 3.9.9, 3.4.52, 3.0.85

0

Greg Kroah-Hartman poinformował o wydaniu poprawkowych wersji kernela Linux z gałęzi 3.9, 3.4 i 3.0.

Poprawki dotyczą netfilter, używanego w wielu linuksowych firewallach, kart sieciowych, obsługi ACPI w napędach ATA, a także procesorów ARM i PowerPC.

Pełne listy zmian, odpowiednio dla 3.9.9, 3.4.52 i 3.0.85, znajdują się na stronie projektu. Podczas gdy gałąź 3.0 będzie wspierana do października bieżącego roku, a 3.4 rok dłużej, użytkownicy 3.9 powinni zacząć planować migrację na najnowsze wydanie – 3.10.

dodany: 02.07.2013 | tagi: , ,

Linux 3.2.48

0

Ben Hutchings poinformował o wydaniu nowego kernela Linux z gałęzi 3.2.

Poprawki w kernelu 3.2.48 dotyczą obsługi sieci, w tym IPv6, procesorów ARM i x86, naprawiają także problemy z brickującymi się laptopami Samsunga przez UEFI.

Wykaz zmian można znaleźć na stronie projektu.

dodany: 08.03.2013 | tagi: , ,

Poprawkowe wydania Linuksa: 3.0.68, 3.4.35, 3.8.2

0

Greg Kroah-Hartman ogłosił publikację poprawkowych wydań trzech gałęzi kernela Linux: 3.0, 3.4 i 3.8. Wszystkie trzy są stabilnymi wydaniami kernela, z czego tylko 3.0 i 3.4 objęte są długim wsparciem technicznym, umożliwiającym poważne rozważanie tych wersji w kontekście zastosowań biznesowych.

Najnowsze wydanie, 3.8.2, dostarcza poprawki do systemów plików xfs oraz efivarfs. Między innymi wprowadza również poprawki do ACPI oraz mało popularnych sterowników urządzeń.
Natomiast wydania 3.4.35 oraz 3.0.68 otrzymały łaty dodane wcześniej do najnowszego kernela.

Dzienniki zmian znajdują się na stronie projektu.

dodany: 12.02.2013 | tagi: , , ,

Wtorkowy biuletyn bezpieczeństwa Microsoftu

0

Microsoft, jak co miesiąc, przedstawił swój wtorkowy biuletyn bezpieczeństwa. Tym razem poprawek jest sporo, bo aż ponad 50. Najważniejszą z nich jest zbiór aktualizacji bezpieczeństwa MS13-009, które dotyczą przeglądarek Internet Explorer poczynając od najstarszej „szóstki” do najnowszej wersji 10. Podobnie jest z zestawem MS13-010 – z tym, że w tym wypadku zestaw ten likwiduje krytyczną lukę stwierdzoną w implementacji Microsoftu języka VML (Vector Markup Language) – w przypadku exploita za pomocą tego błędu było możliwe wykonanie dowolnego, zdalnego kodu.

Zbiór poprawek MS13-011 dotyczy systemów Windows od XP do Vista, włącznie z serwerowymi wersjami 2003 i 2008 – w tym wypadku problem leży w dekoderach plików multimedialnych Microsoftu – w przypadku spreparowanego pliku (np. *.mpg) otwartego bezpośrednio z dowolnego programu z pakietu Office możliwe było wywołanie dowolnego kodu – problem leżał dokładnie w obsłudze przez DirectShow. Możliwości kodu ograniczały się do uprawnień aktualnie zalogowanego użytkownika.

MS13-012 dotyczy także możliwości wykonania zdalnego kodu, ale w tym wypadku na serwerze Microsoft Exchange. Poprawka ta ma także oczywiście status krytycznej.

MS13-020 to także krytyczna luka pozwalająca na wywołanie zdalnego kodu, poprzez błąd w mechanizmie OLE (Object Linking and Embedding). Problem ten dotyczył wyłącznie Windowsa XP z SP3.

MS13-013 także naprawia problem wywołania zdalnego kodu, ale w tym wypadku problem dotyczy FAST Search Server 2010 for SharePoint Service Pack 1. Łatkę tę określono statusem ważnej.

MS13-014 dotyczy także usługi serwera, a konkretnie możliwości wykonania ataku DoS na NFS. Problem ten tyczył się systemów Windows Serwer 2008 oraz 2012. Poprawka ta ma status ważnej.

MS13-015  naprawia lukę w Frameworku .NET – w przypadku odpowiednio spreparowanej strony możliwe było podniesienie uprawnień. Łatka ta ma status ważnej oraz dotyczy każdego dostępnego obecnie systemu Windows.

Podobną słabość naprawia pakiet MS13-016, z tym, że w tym wypadku dotyczy to sterownika Kernel-Mode. Niestety problem ten dotyczy także każdego systemu Windows. Warto wspomnieć, że dziury te odkrył nasz rodak Mateusz Jurczyk, który pracuje dla Google, o czym Microsoft nie omieszkał wspomnieć w swoich podziękowaniach. Mateusz w tym wypadku zgłosił aż 30 przypadków, które pozwalały na podniesienie uprawnień. Gratulujemy!

Status ważnej ma także zbiór poprawek MS13-017 -problem tyczy się samego jądra wszystkich systemów Windows. W każdym przypadku pozwala ona na podniesienie uprawnień. Tu też udzielił się Mateusz we współpracy z Gynvaelen Coldwind.

Nie mniej ważna jest poprawka z biuletynu MS13-018, która blokuje możliwość wykonania ataku DoS w implementacji protokołu TCP/IP. Problem ten dotyczy każdej wersji systemu, z tymże w przypadku Windows Vista, 7, 8 i 2012 zagrożenie jest umiarkowane, natomiast w pozostałych znacznie poważniejsze.

Ostatnie poprawki ze statusem ważności są opisane pod MS13-019 i dotyczą systemów Windows 7 oraz 2008. Aktualizacje te naprawiają problem podniesienia uprawnień w przypadku zalogowania się użytkownika i uruchomienia spreparowanej aplikacji.

Nowe poprawki pobiorą się i zainstalują oczywiście same, jeśli mamy włączone aktualizacje automatyczne. Alternatywą jest własnoręczne pobranie wybranych aktualizacji. Niestety nie objedzie się bez konieczności restartu systemu.

dodany: 14.01.2013 | tagi: , , ,

Oracle wyda jutro ważne łatki

0

Oracle poinformowało o przygotowaniu pakietu krytycznych łatek do swoich istotnych produktów (nie nie Javy w nich nie ma – tu musimy się pogodzić z dwuletnim okresem oczekiwania ;). Poprawki te zostaną wydane 15 stycznia, jako Critical Patch Update Advisory (CPUA).

Nowe CPUA będzie zawierać łącznie 86 łatek, które naprawią poważne problemy produktów tej firmy. Poprawki zostały sklasyfikowane wg systemu wagi błędów CVSS 2.0. Najwyższy wynik 10.0 dotyczy poprawki dla produktu Mobile Server z Oracle Database Mobile/Lite Server.

Przygotowane poprawki będą dotyczyć następujących produktów:

  • Oracle Database 11g Release 2, wersje 11.2.0.2, 11.2.0.3
  • Oracle Database 11g Release 1, wersja 11.1.0.7
  • Oracle Database 10g Release 2, wersje 10.2.0.3, 10.2.0.4, 10.2.0.5
  • Oracle Database Mobile Server, wersja 11.1.0.0
  • Oracle Database Lite Server, wersja 10.3.0.3
  • Oracle Access Manager/Webgate, wersje 10.1.4.3.0, 11.1.1.5.0, 11.1.2.0.0
  • Oracle GoldenGate Veridata, wersja 3.0.0.11.0
  • Management Pack for Oracle GoldenGate, wersja 11.1.1.1.0
  • Oracle Outside In Technology, wersja 8.3.7, 8.4
  • Oracle WebLogic Server, wersje 9.2.4, 10.0.2, 10.3.5, 10.3.6, 12.1.1
  • Application Performance Management wersje 6.5, 11.1, 12.1.0.2
  • Enterprise Manager Grid Control 11g Release 1, wersja 11.1.0.1
  • Enterprise Manager Grid Control 10g Release 1, wersja 10.2.0.5
  • Enterprise Manager Plugin for Database 12c Release 1, wersje 12.1.0.1, 12.1.0.2
  • Oracle E-Business Suite Release 12, wersje 12.0.6, 12.1.1, 12.1.2, 12.1.3
  • Oracle E-Business Suite Release 11i, wersja 11.5.10.2
  • Oracle Agile PLM Framework, wersja 9.3.1.1
  • Oracle PeopleSoft HRMS, wersje 9.0, 9.1
  • Oracle PeopleSoft PeopleTools, wersje 8.51, 8.52
  • Oracle JD Edwards EnterpriseOne Tools, wersje 8.9, 9.1, SP24
  • Oracle Siebel CRM, wersje 8.1.1, 8.2.2
  • Oracle Sun Product Suite
  • Oracle VM Virtual Box, wersje 4.0, 4.1, 4.2
  • Oracle MySQL Server, wersje 5.1.66 i wcześniejsze, 5.5.28 i wcześniejsze

Szczególnie istotne poprawki dotyczą darmowej wersji MySQL Server, do którego zostanie wydanych łącznie 18 łatek, z czego 2 naprawiają wysoce groźne problemy, przez które można uzyskać dostęp do bazy bez uwierzytelniania. Poprawki te zostały oznaczone 9.0 punktami systemu klasyfikacji CVSS.

dodany: 15.11.2012 | tagi: , ,

Nowy biuletyn bezpieczeństwa Microsoftu

0

Niedawno pisaliśmy o zapowiedzi co miesięcznego biuletynu poprawek Microsoftu (zobacz newsa). Teraz są już znane szczegóły, co konkretnie zostało naprawione. MS12-071, to zbiór poprawek bezpieczeństwa dla Internet Explorer w wersji 9. Jak się okazało, inne wersje IE nie są podatne na ten problem – nawet wersja 6 i najnowsza „dziesiątka”. Usterka w IE9 umożliwiała wykonanie zdalnie dowolnego kodu przez exploita modyfikującego tymczasowo pamięć przeglądarki, poprzez odpowiednio spreparowaną stronę.

MS12-072 dotyczy błędów w powłoce Windows, a konkretnie w Explorerze. W tym wypadku problem dotyczył wszystkich systemów, poczynając od Windows XP a kończąc na W8 – pisaliśmy o tym w poprzednim newsie – aktualizacja ta ma stopień krytyczny.

Microsoft Security Bulletin MS12-073 dotyczy błędów w usłudze ISS – błąd znajdował się konkretnie w module serwera FTP – w pewnych przypadkach możliwy był wyciek danych. Usterka dotyczy wersji pod systemy Windows Vista, Windows 7, Windows Server 2008. Pozostałe edycje są wolne od tego problemu.

MS12-074 naprawia problemy dotyczące działania frameworku .NET – w tym wypadku poprawiono aż 5 błędów. Poprawki te są uznane jako krytyczne i dotyczą każdej wersji systemu Windows od XP po 8 i edycje serwerowe.

Krytyczne poprawki zebrane pod MS12-075 dotyczą także możliwości wykonania zdalnego kodu za pomocą spreparowanych fontów TrueType (pliki TTF) na stronie internetowej – błąd tkwił bezpośrednio sterownika Kernel-Mode. Problem ten dotyczy także każdej wersji systemu.

Ostatni zbiór poprawek MS12-076 dotyczy pakietów Office w wersji 2003, 2007 i 2010 oraz edycji pod Maca, czyli wersji 2008 i 2011, a także samego czytnika dokumentów Excel Viewer. Problem polegał na możliwości wykonania zdalnego kodu za pomocą spreparowanego pliku *.XLS.

 

dodany: 17.10.2012 | tagi: , ,

Oracle planuje wielką aktualizację

0

Oracle planuje ogromną aktualizację zabezpieczeń z poprawkami dotyczącymi ponad 100 luk wpływających na wszystkie produkty spółki. Patche zostaną wypuszczone we wtorek.

W sumie znaleziono dokładnie 109  błędów zabezpieczeń, które zostaną naprawione. Dwadzieścia sześć z nich są lukami Oracle Fusion Middleware. 13 z nich jest wykorzystywanych zdalnie, bez uwierzytelniania. Wśród komponentów Fusion Middelware dotknięte są Oracle Application Server Sign-On, Oracle BI Publisher oraz Oracle JRockit. Najwyższy wynik bazowy CVSS luk wpływających na Oracle Fusion Middleware wyniósł 10.0. Ocena podstawowa CVSS dla pięciu poprawek zabezpieczeń dla Oracle Database Server wyniosła również 10, co jest najwyższą możliwą oceną.

Oracle w poradniku podaje, że jedna z tych luk, może być wykorzystana bez uwierzytelniania, czyli może być wykorzystana przez sieć bez konieczności korzystania z nazwy użytkownika i hasła  i dodaje, że dwie z tych poprawek  mają zastosowanie tylko do instalacji dla klienta , czyli instalacji, które nie mają zainstalowanego serwera bazy danych Oracle.

Kolejną po Fusion Middleware Suite największą partią luk ustalonych w aktualizacji  jest zestaw Oracle Sun Products Suite, gdzie w sumie naprawionych zostało 18 błędów. Trzy z luk są zdalnie eksploatowane bez nazwy użytkownika czy hasła. Najwyższy wynik bazowy CVSS Oracle Sun Products Suite wyniósł 7,8.

Wszystkie dotknięte komponenty mają jeden lub więcej usterek, które mogą być wykorzystywane zdalnie bez uwierzytelniania 

– napisał na blogu Amol Sarwate, dyrektor laborartokiów błędów dla Qualys.

Ogólnie rzecz biorąc, jest to duża publikacja, która będzie zajmować administratorów systemów na wszystkich frontach

– dodał Sarwate.

Pozostałe produkty, których dotyczy publikacja: dziewięć poprawek zabezpieczeń dla Oracle E-Business Suite, dziewięć dla Oracle Supply Chain Products Suite, kolejne dziewięć dla produktów Oracle PeopleSoft, 14 dla Oracle MySQL, dwie dla Oracle Siebel CRM, dwie dla Oracle Industry Applications, 13 dla Oracle Financial Services Industry Software i dwie dla Oracle Virtualization Software.

Ze względu na zagrożenie stwarzane przez udany atak, Oracle „zaleca” klientom zastosowanie aktualizacji krytycznych poprawek jak najszybciej.

dodany: 19.07.2012 | tagi: , ,

Firefox poprawia działanie funkcji nowa zakładka

1

W najnowszej, 14. odsłonie popularnej przeglądarki Firefox, dano możliwość wyłączenia tworzenia podglądu najczęściej otwieranych stron. W wersji 13. wielu użytkowników miało za złe, iż przeglądarka wrzucała podgląd stron nawet z loginami do banków itp.

W najnowszej edycji z podglądu domyślnie wyłączone są strony działające w oparciu o protokół HTTPS. Oprócz tego, jeśli przeglądarka napotka komendę w nagłówku strony „Cache-Control: no-store”, także w tym przypadku podgląd nie będzie generowany. Poza tym w najnowszej wersji użytkownicy mają możliwość kasowania zgromadzonych podglądów – można to uczynić ręcznie przez wyczyszczenie historii ostatnio przeglądanych stron, bądź też włączyć na stałe, jako automat działający przy każdorazowym wyłączaniu przeglądarki.

Użytkownik ma także możliwość zupełnego wyłączenia mechanizmu tworzenia podglądu stron – jest to możliwe poprzez zaawansowane opcje, czyli wklepanie w pasek adresu: about:config  a następnie odszukanie sekcji browser.pagethumbnails.capturing_disabled i ustawienie jej na wartość TRUE.

Mimo to nadal są użytkownicy, którzy uważają tę funkcjonalność za mało bezpieczną… Podobnie Firefox Privacy Team nadal  klasyfikuje nową funkcję jako ryzykowną i wymagającą poprawienia.