!MOAUB

[במקור: http://www.exploit-db.com/images/MOAUB/MOAUB-0.png] 
 
רציתי לציין שהחודש מתחיל הפרוייקט "MoAUB" (ראשי תיבות של Month Of Abysssec Undisclosed Bugs), במסגרתו
של הפרוייקט, החבר'ה מ-Abysssec יפרסמו כ-Full Disclosure מספר רב של חולשות אבטחה במערכת שונות שעדיין לא
נמצא להן תיקון (0Days).
 
החולשות יפורסמו תחת המיזם Exploit-DB, וכבר היום (היום הראשון) פורסמו שני חשיפות ברמה "Critical", החולשות אשר
פורסמו נמצאו במוצרים cPanel (מערכת ניהול ובקרה מבוססת PHP), וב-Acrobat Reader ו-Flash Player של Adobe.
ליותר מידע אודות החולשות: כאן ו-כאן
  
כאמור, החולשות יפורסמו כ-Full Disclosure, מה שאומר שהפרסום יהיה ללא צנזורה כלל, וכלל פרטי החולשות יפורסמו,
לרב, בנוסף ל-PoC למימוש החשיפה. דבר שדי שנוי במחלוקת לדעתי (מפני הסיכון שגורמים בעלי כוונות זדון ינצלו את המידע
לרעה, תזכרו את השורה הזאת!)
 
מומלץ בחום לעקוב מקרוב מאוד אחרי הפרוייקט בחודש הקרוב. 


תגובות על '!MOAUB':



#1 

Oink (אורח):
חבל על הזמן! הם פרסמו אקספלויט רציני למוצרים של Adobe! רק צריך להחליף את ה-Shellcode בוקטור קצת יותר רציני- וזהו, להכניס למנגנון התפוצה של ה-Botnet הבייתי שלך.
01.09.2010 15:20:19

#2 

Trancer (אורח):
מקווה שיהיה באמת חודש מגניב.

ל-Oink - הפרצה שהם חשפו היום ב-Adobe Reader איננה 0day, וקיים לה כבר עדכון.
01.09.2010 16:37:10

#3 

Oink (אורח):
כן ועכשיו ראיתי שכבר יש לה CVE, בכל זאת- מידע מעניין! אגב, אתה Trancer מהבלוג Rec-Sec?
01.09.2010 16:45:20

#4 

m1ch43l1014 (אורח):
אני עדיין לא מבין למה ועל מה זה :/
אבל תזהרו ושוב תודה על העדכון !
02.09.2010 11:27:10

#5 

cp77fk4r:
m1- מה לא מובן?
Oink- מכיר Trancer אחר? ;)
02.09.2010 12:37:08

#6 

m1ch43l1014 (אורח):
אני לא מבין למה צריך לפרסם דברים שהם 0day בלי צנזורה ... זה אחלה בשביל blackhats ולא יותר מזה ...
(אגב לפי הבנתי מה שפורסם עד עכשיו הוא לא 0day)
02.09.2010 12:53:11

#7 

גידי (אורח):
למה צריך לפרסם? כי החברות שמות -זין- !
יודעים על פירצה חצי שנה ולא מתקנים ?

רק ככה החברות יתייחסו ברצינות להגנת הלקוחות שלהם.
ותסמוך עלי, על כל פרצה שמגלה כובע לבן מגלה עוד אחד עם כובע שחור....
02.09.2010 15:45:29

#8 

m1ch43l1014 (אורח):
עם אמרה הראשונה אני מסכים חלקית יצא לי לראות כמה מקרים כאלו כמו acrobat reader שcP סיקר שפירסמו פתרון חלקי ולא מעשי כלל.

לגבי הטענה "על כל פרצה שמגלה כובע לבן מגלה עוד אחד עם כובע שחור" - זה שינוי במחלוקת כל עוד לא הבאת לי הוכחה
02.09.2010 16:38:41

#9 

cp77fk4r:
m1- אתה לא יכול להוכיח את זה, אבל תיהיה בטוח שהנתונים בשטח הרבה יותר גרועים.
02.09.2010 19:27:59

#10 

m1ch43l1014 (אורח):
בהוכחה התכוונתי לגילוי אחד שמצאו אחד מכל "כובע".
זה מצער לשמוע זאת שהנתונים ככה.צריך לעשות שינוי :)
02.09.2010 21:04:39

#11 

cp77fk4r:
אין דרך לשנות את זה, יש לך יותר כובעים שחורים מכובעים לבנים.
03.09.2010 05:42:56

#12 

cp77fk4r:
אגב, וזאת בדיוק העובדה שעוד איכשהו עוזרת לנו בתור משתמשים תמימים- אם יש איזה White hat חמוד שמדווח להם על פירצה זה יכול להגרר חודשים (ע״ע מיקרוסופט ו-Aurora Exploit או Didier Stevens ו-Adobe). לעומת זאת- מספיק שאיזה Black hat כותב תולעת שמנצלת פירצה מסויימת וגורמת לנזק (שנמדד בדרך כלל במיליונים של דולרים וצפונה) ספקיות התוכנה נכנסות לכוננות גבוהה ומשחררות טלאים במהירויות (ברב המקרים) גבוהות.
03.09.2010 06:03:30

#13 

m1ch43l1014 (אורח):
זה כמו שAcrobat Reader עשתה רשימה שחורה... יש מצבים שיש פתרון חלקי...
03.09.2010 10:49:21

#14 

m1ch43l1014 (אורח):
שמוציאים החברות פתרון חלקי
03.09.2010 10:50:54

#15 

Dw4rf (אורח):
m1- זאת לא טענה, CP צודק, Acrobat Reader יישמו פתרון חלקי מאוד (עם הרשימה השחורה) רק כדי לרצות את אותו חוקר אבטחה (תוכל להסתכל בפוסטים ישנים יותר- CP סיקר את זה באופן יוצא מהכלל), לעומת זאת- אם Black Hats היו מנצלים את הפרצה הזאת בכדי להפיץ וירוסים- Acrobat היו מיישמים מנגנונים הרבה יותר חכמים והגיוניים.
05.09.2010 07:38:41

#16 

Oink (אורח):
אתם ממשיכים לעקוב? יצאו עוד שלושה אקספלויטים:
Movie Maker Remote Code Execution:
http://din.gy/lt60K

Microsoft MPEG Layer-3 Remote Command Execution:
http://din.gy/w7TVt

Trend Micro Internet Security Pro 2010 ActiveX extSetOwner Remote Code Execution:
http://din.gy/5Ceex
05.09.2010 10:28:48

#17 

cp77fk4r:
תודה, אבל אני לא מתכוון לעדכן כאן ארבעה פעמים ביום :) במידה ויהיו שם דברים ששווה לדבר עליהם- תאמין לי שהם יופיעו פה.
07.09.2010 13:51:59

#18 

m1ch43l1014 (אורח):
cP - עד כה לא ראיתי ממש 0day הכל גירסאות ישנות...
07.09.2010 16:25:18

#19 

tux (אורח):
Microsoft MPEG Layer-3 Remote Command Execution

פשוט לא עובד....
07.09.2010 18:33:50

#20 

Oink (אורח):
@tux - כן, זה בהחלט נשמע הגיוני... למרות שזה נבדק על ידי הצוות של ExploitDB זה עדיין לא עובד... בדוק את עצמך שוב ואת כל הפרטים לפני שאתה מדבר באויר.
07.09.2010 18:41:37

#21 

Oink (אורח):
@m1ch43l1014- לפי איך שאני הבנתי את זה, מדובר ב-0days בגלל שהם לא פורסמו עדיין בציבור אלה נשלחו רק ל-Vendors כדי שיתקנו ויתייחסו.
07.09.2010 19:36:54

#22 

cp77fk4r:
Oink- ראשית, דבר בכבוד, שנית- ההגדרה של 0day היא לא שפרטי החשיפה לא פורסמו אלה חשיפות שעוד לא יצא להן עדכונים. וכן, בדיוק בגלל שפרסום של "0day" הוא שנוי במחלוקת- הם יידעו את אותם ספקי המוצרים לפני שהם פרסמו את החשיפות. הם טעו בהגדרה.
07.09.2010 19:48:08

#23 

Splint3r (אורח):
מידע שימושי, שווה לעקוב. תודה רבה!
11.09.2010 19:39:03



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.