:

Szerző: Bodnár Ádám

2011. december 28. 09:00

Vizsgálja a Microsoft a 64 bites Windows 7 sebezhetőségét

A Microsoft már vizsgálja azokat a jelentéseket, amelyek szerint Safari böngészőben egy preparált weboldalt megnyitva a Windows 7 operációs rendszer 64 bites változatán "kék halált" lehet előidézni. A dán Secunia biztonsági cég szerint a sérülékenységet távoli kódfuttatásra is fel lehet használni.

A sérülékenységet december 18-án Twitteren jelentette egy webDEViL nevű indiai hacker: egy teljesen naprakész Windows 7 operációs rendszeresen a win32k.sys kerneldriver memóriahibát okoz, ha egy Safari böngészővel megnyitott weboldalba túl magas iframe elem van beágyazva. A sérülékenységet "különösen kritikus" kategóriába soroló Secunia szerint a támadást akár távoli kódfuttatásra is fel lehet használni kernelmódú jogosultsággal, bár ezt eddig még nem bizonyították. Más böngészőkkel vagy más operációsrendszer-verziókkal a hibát egyelőre nem sikerült reprodukálni.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A Microsoft megerősítette, hogy vizsgálja a sebezhetőséget, a cég szokásos nyilatkozata szerint meg fogja tenni a szükséges lépéseket a felhasználók biztonsága érdekében. Mivel egyelőre nincs jelentés arról, hogy a hibát aktívan kihasználnák, a Safari elterjedtsége Windows 7 operációs rendszeresen viszonylag alacsony (a NetMarketShare adatai szerint világszerte kevesebb mint 5 százalék) és a távoli kódfuttatás lehetősége sem megerősített, nem valószínű a soron kívüli frissítés.

A következő "patch kedd" január 10-én lesz, de a javítás elkészítése és kitesztelése több időt vehet igénybe, a HWSW tippje szerint februárban érkezik a frissítés. A helyzeten persze változtathat, ha időközben más böngészőkkel vagy operációsrendszer-verziókkal is sikerült reprodukálni a hibát vagy ha sikerül a sérülékenységet kódfuttatásra felhasználni és elterjednek az ilyen támadások.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról