Sadaļas arhīvs: Ielāpi

Kļūdu labojumi un ielāpi programmām.

Flash 16.0.0.287 kritiska ievainojamība

Adobe lapā ir publicēta informācija par kritisku Flash spraudņa ievainojamību. Ievainojamas ir visas Flash versijas (ieskaitot) 16.0.0.287.

A critical vulnerability (CVE-2015-0311) exists in Adobe Flash Player 16.0.0.287 and earlier versions for Windows and Macintosh.  Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.  We are aware of reports that this vulnerability is being actively exploited in the wild via drive-by-download attacks against systems running Internet Explorer and Firefox on Windows 8.1 and below.

UPDATE (January 24): Users who have enabled auto-update for the Flash Player desktop runtime will be receiving version 16.0.0.296 beginning on January 24. This version includes a fix for CVE-2015-0311. Adobe expects to have an update available for manual download during the week of January 26, and we are working with our distribution partners to make the update available in Google Chrome and Internet Explorer 10 and 11. For more information on updating Flash Player please refer to this post.

Chrome lietotājiem ir ieteicams vispār atslēgt Flash spraudni, jo tas ir iebūvēts pārlūkā.

Es savu Flash spraudni jau atjaunoju vakar uz Flash 16.0.0.296. Noskaidrot savu versiju var Adobes lapā.

Diskusija iekš HN.

Kritiska Git klientu ievainojamība

K šorīt informēja par kritisku Git klientu ievainojamību, kas ļauj palaist ļaunprātīgu kodu uz lietotāja datora.

The vulnerability concerns Git and Git-compatible clients that access Git repositories in a case-insensitive or case-normalizing filesystem. An attacker can craft a malicious Git tree that will cause Git to overwrite its own .git/config file when cloning or checking out a repository, leading to arbitrary command execution in the client machine. Git clients running on OS X (HFS+) or any version of Microsoft Windows (NTFS, FAT) are exploitable through this vulnerability. Linux clients are not affected if they run in a case-sensitive filesystem.

We strongly encourage all users of GitHub and GitHub Enterprise to update their Git clients as soon as possible, and to be particularly careful when cloning or accessing Git repositories hosted on unsafe or untrusted hosts.

Tā kā liekam virsū jaunākās Git versijas un dzīvojam bez stresa.

Shellshock Bash remote exploit attālinātās piekļuves drošības caurums

Sapiņķerējos meistarībā ar tēmas nosaukuma izdomāšanu. Ziepes ir tādas, ka tava Linux vai OS X sistēma ir caura, ja šobrīd to neesi vēl salāpījis. Internetos tehniski orientētie ļautiņi streso un svīst par jauno bash caurumu, kas ieguvis nosaukumu “shellschock” un potenciāli varētu būt vēl jautrāks nekā iepriekšējais HeartBleed Bug.

Tajā brīdī, kad kāds gudrinieks izdomās labu skriptu, kas šo caurumu izmantos, tad tiks ņemtas priekšā kastes (serveri) un viss, kas tur atradīsies var nokļūt ļaundaru rokās. Interneta veikala informācija, superpuper startups, bildes ar plikiem pupiem utt.

Te būs bilde no jaunākā un oficiāli vēl neiznākušās OS X Yosemite Beta 3, bet cauras ir arī iepriekšējās Mavericks 10.9 versijas, jo bash, tad ir vēl vecais. 🙂

Bash shellshock

Pamēģini palaist šīs maģiskās rindiņas savā konsolē.

Lasīt tālāk

Kā ātri izveidot universālu Win 7 diska attēlu

LongT atsaucoties uz TinyApps raksta:

Utīlis pamaina Win 7 diska imagē faktiski vienu bitu, kurš norāda, ka fails ei.cfg ir dzēsts, rezultātā installs prasa, kuru edition instalēt.
Procesu palaižot otrreiz – bits tiek pamainīts atpakaļ un iegūstam original image.
Praktiski nav pārbaudīts.

Pašu programmiņu var lejupielādēt te Windows 7 ISO Image Edition Switcher.

The Windows 7 ISO Image Edition Switcher is a set of small binary patches (and a tool to apply these patches) that will convert an official Windows 7 ISO disc image into an official Windows 7 ISO disc image of another edition. The resulting ISO images are bit-for-bit identical with those posted on MSDN or TechNet, and their SHA-1 hashes should match the official hashes posted by Microsoft.

Vienīgi ar legālu Windows laikam šādu joku nevarēs darīt. 🙂

Kā uzlikt visus jauninājumus apejot Windows Genuine Advantage

LongT iemeta vēl vienu rakstiņu, kurā ir detalizēta pamācība par to kā uz sava licencētā Windows XP uzlikt pilnīgi visus jauninājumus un labojumus, bet tajā pašā laikā apiet Windows Genuine Advantage.

If you’re a legitimate Microsoft customer, you can download and install all the Windows updates you need without running Windows Genuine Advantage (WGA) and exposing yourself to the false positives it’s become known for.

Lai arī es esmu legālu Windows XP īpašnieks, tomēr es vēl neesmu saskāries ar to šausmnoni WGA. Laikam neesmu nevienā no jauninājumiem to apstiprinājis.

Atrasta nopietna video dekodera ffdshow ievainojamība

K pameta saiti uz kādu drošības blogu kurā aprakstīta nopietna video dekodera ffdshow ievainojamība, kas ļauj attālināti palaist ļaunprātīgu koda gabalu uz lietotāja datora caur jebkuru pārlūku.

The flaw occurs when ffdshow works with a media stream (e.g. http://[website]/test.avi). On parsing an overly long link, ffdshow would encounter a buffer overflow error as the memory is not allocated and controlled well.

ffdshow is in fact a codec component for decoding multimedia formats so it must be used via some media player; the default program is Windows Media Player (wmp). Due to this reason, all internet browsers that support wmp plug-in are influenced by this vulnerability, such as Internet Explorer, Firefox, Opera, Chrome…

In order to exploit, hackers trick users into visiting a website containing malicious code. If successful, malicious code would be executed without any users’ further interaction. Hackers can then take complete control of the system.

Tā kā jebkurā datorā, kur ir uzlikta Windows operētājsistēma ir jābūt arī video atskaņošanas programmām, tad loģiski, ka lietojam pašas labākās. Šī ievainojamība pamudināja mani, atjaunot vienīgo video dekoderi, ko es izmantoju, lai spētu atvērt gandrīz jebkuru video formātu un tas ir šodienas upuris – ffdshow. Es pie reizes arī uzliku svaigāko Media Player Classic 6.4.9.1, ja reiz liek virsū jauninājumus, tad jāuzliek arī pats video atskaņotājs.

Firefox 2.0.0.8 CSS float clearing kļūda

Iekš FYFI bloga pamanīju ierakstu par problēmu, kas ir parādījusies pēdējā Firefox 2.0.0.8 jauninājumā. Labojot drošības caurumus izstrādātāji ir uztaisījuši nopietnu CSS izkārtojuma kļūdu. Paši viņi to skaidro šādi.

The 2.0.0.8 release fixed some 200 issues, but accidentally regressed a few things. Most users won’t see any difference or experience any problems, and those 200 fixes make the 2.0.0.8 update very valuable, but you should never have to choose functionality over security. So we’re working fast to understand and fix these problems, and will shortly be issuing a 2.0.0.9 update to address them.

Kļūda ir aprakstīta Bugzillā – Bug 400406 – Layout badly broken in 2.0.0.8, CSS issue with floats or negative margins or display property…

Lasīt tālāk

WordPress 2.1.3 jeb pirmais ielāps

Nepagāja i pāris nedēļas kā iznāca jauna apakšversija WordPress 2.1.3. Marta vidū es rakstīju par WordPress 2.1.2 ievainojamību.

Šī ir mana pirmā lāpīšanās. Izskatās, ka viss kustās un griežās tā kā iepriekš. Novēlu arī pārējiem WordPressiešiem to pašu. Detalizētāks apraksts ar kļūdām, kas tika izlabotas šajā versijā. Atradu iekš Geek Ramblings.

WordPress XSS ievainojamība caur wp_title funkciju

Viens no mīnusiem, lietojot atvērtā koda programmatūru, ir tas, ka visi, kam nav slinkums, lien kodā un urķējās. Tas, protams, ir labi, jo tādā veidā var ātri atrast nepilnības un tās draudzīgi izlabot. Es biju lasījis par to, ka WordPress kods ir diezgan līks. Šodien pamēģināju novērst nepilnības. Lasīt tālāk