A Microsoft biztonsági frissítésekről szóló jelentést tett közzé
2015-08-11
Microsoft Security Bulletin Summary for August 2015
A Microsoft több biztonsági friddítést tett közzé, mely a rosszindulatú támadók elleni védelmet biztosítását célozza. A sérülékenységek közt (MS15-079 - MS15-092), melyekre megoldást adnak a most kiadott biztonsági frissítések, 4 kritikus és 10 fontos besorolású.
Kritikus besorolású
- az Internet Explorer sérülékenysége (MS15-079), mely távoli kódfuttatást tesz lehetővé, ha a felhasználó egy speciálisan előkészített weboldalt meglátogat,
- a Microsoft grafikus komponensének sérülékenysége (MS15-080), mely mely távoli kódfuttatást tesz lehetővé, ha a felhasználó egy speciálisan előkészített olyan dokumentumot megnyit vagy egy olyan weboldalt meglátogat, mely embedded TrueType or OpenType fontot tartalmaz,
- a Microsoft Office sérülékenysége (MS15-081), mely távoli kódfuttatást tesz lehetővé, ha a felhasználó egy speciálisan előkészített Microsoft Office fájlt megnyit,
- a Microsoft Edge sérülékenysége (MS15-091), mely ávoli kódfuttatást tesz lehetővé, ha a felhasználó egy speciálisan előkészített weboldalt meglátogat a Moicrosoft Edge-et használva.
A frissítések mihamarabbi telepítése javasolt!
További információk találhatók az alábbi linkeken:
http://blogs.technet.com/b/msrc/archive/2015/08/11/august-2015-security-update-release-summary.aspx
http://tech.cert-hungary.hu/vulnerabilities/CH-12518
A Mozilla Firefox biztonsági frissítés
2015-08-11
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Firefox OS
A Mozilla a Firefox-t, a Firefox ESR-t és Firefox OS-t érintő biztonsági frissítéseket tett közzé, mely ezen programok sérülékenységeit javítja, köztük azt a kritikus besorolású sérülékenységet, mely a távoli támadónak lehetővé teszi, hogy átvegye az érintett rendszer irányítását.
A frissítések mihamarabbi telepítése javasolt!
További információk találhatók az alábbi linkeken:
https://www.mozilla.org/en-US/security/advisories/
Cisco OpenSSL tanusítvány lánc sérülékenységgel érintett eszközök listájának frissítése
2015-08-07
OpenSSL Alternative Chains Certificate Forgery Vulnerability (July 2015) Affecting Cisco Products
CVE-2015-1793
A Cisco ismét frissítette azon eszközök listáját, melyek érintettek az OpenSSL azon sérülékenységében, melyet kihasználva a távoli felhasználók megkerülhetik a tanúsítvány érvényesítését a célrendszeren.
További információk találhatók az alábbi linken:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150710-openssl
Android mobil operációs rendszerben található kritikus besorolású sérülékenység
2015-08-06
A Kormányzati Eseménykezelő Központ a Android mobil operációs rendszerben található kritikus besorolású sérülékenysége miatt riasztást adott ki.
Az Android sérülékenységét (Stagefright) kihasználva a támadók számára távoli kódfuttatás válik
lehetővé, amin keresztül képesek lehetnek átvenni az irányítást a fertőzött eszköz felett. A
sérülékenység kihasználásához elegendő lehet a telefonszám ismerete és egy speciálisan
összeállított videót tartalmazó MMS üzenet elküldése, felhasználói interakció nem szükséges.
A biztonsági javítások a gyártók közlése szerint a Nexus termékekre már elérhetőek, a
sérülékenységet javító biztonsági frissítések a Samsung eszközökre egy hónapon belül lesznek
elérhetőek.
A fenti sérülékenység kihasználását lehetővé tévő káros kód már nyilvánosságra került, ezért
valószínűsíthető, hogy a támadók már aktívan ki is használják. Az esetleges károk megelőzése
érdekében a Kormányzati Eseménykezelő Központ az MMS szolgáltatás ideiglenes letiltását
javasolja, mely a következőképpen végezhető el:
- Samsung: Beállítások > További hálózatok > Mobilhálózatok > Hozzáférési pontok neve > az „MMS” szót tartalmazó elem kiválasztása > beállítások (≡) gomb > Hozzáférési pont törlése;
- LG: a Beállítások > Internetmegosztás és hálózatok > Mobilhálózatok > Hozzáférési Pontok > az „MMS” szót tartalmazó elem kiválasztása > beállítások (≡) gomb > APN törlése;
- a többi készülék esetén hasonlóan történik a letiltás.
A németországi Telekom a felhasználói védelme érdekében központilag letiltotta az MMS szolgáltatását.
További információ az alábbi linkeken található:
http://tech.cert-hungary.hu/vulnerabilities/CH-12489
https://www.kb.cert.org/vuls/id/924951
http://www.hwsw.hu/hirek/54313/android-stagefright-sebezhetoseg-biztonsag-worm-tamadas.html
Cisco IOS XE biztonsági frissítés az ASR 1000 aggregation Service routerekben
2015-07-30
Cisco ASR 1000 Series Aggregation Services Routers Fragmented Packet Denial of Service Vulnerability
CVE-2015-4291
A CISCO biztonsági frissítést tett közzé az ASR 100-es sorozatú Aggregation Services routerek Cisco IOS XE szoftverében lévő sérülékenységek javítására. A sérülékenységet kihasználva egy távolitámadó szolgáltatás megtagadást (DoS) idézhet elő.
A sérülékenységet a fregmentált csomagok nem megfelelő kezelése okozza. A támadó a fregmentált csomagok ravasz sorrendben történő küldésével a rendszer újraindulását okozhatja.
További információk találhatók az alábbi linken:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150730-asr1k