Nieuws
image

Microsoft "bestraft" wegens oude lekken

dinsdag 8 februari 2011, 17:50 door Redactie, 2 reacties

Microsoft, HP en IBM zijn allemaal "bestraft" omdat ze beveiligingslekken te lang hebben laten zitten. Vorig jaar kondigde beveiligingsbedrijf TippingPoint aan dat het leveranciers wil aansporen om kwetsbaarheden eerder op te lossen. Het bedrijf koopt via het Zero Day Initiative beveiligingslekken van onderzoekers en hackers, rapporteert die vervolgens aan de betreffende leverancier en verwerkt een update in de eigen producten, zodat klanten eerder beschermd zijn dan de rest van de populatie.

Ondanks te zijn gewaarschuwd laten veel leveranciers de lekken gewoon zitten. Om daar verandering in te brengen hanteert TippingPoint sinds vorig jaar een deadline van zes maanden, waarna het details over de kwetsbaarheid vrijgeeft. In het geval van Microsoft gaat het om vijf lekken in Office 2003 en Office 2007, waardoor een aanvaller kwetsbare systemen kan overnemen. Hiervoor moet het slachtoffer wel een kwaadaardig bestand of website openen.

De lekken ware rond juli vorig jaar aan Microsoft gerapporteerd. Aangezien de softwaregigant de 'patch-deadline' niet haalde, is TippingPoint tot publicatie overgegaan. In het geval van IBM gaat het om negen geopenbaarde lekken, terwijl HP vier kwetsbaarheden te verwerken kreeg.

Reacties (2)
08-02-2011, 22:27 door Bitwiper
Het onderwerp dekt niet de lading, naast Microsoft krijgen HP en IBM klappen, maar ook SCO, CA, Novell en EMC, zie genoemde http://www.zerodayinitiative.com/advisories/published/ (of de posts vanaf http://lists.grok.org.uk/pipermail/full-disclosure/2011-February/date.html#79031).

En de niet Microsoft vulns zijn vaak een stuk ouder (veel meer dan 180 dagen), authentication is niet altijd nodig en sommigen geven SYSTEM access, en exploits zijn zo te zien niet erg lastig te maken, voorbeelden:

ZDI-11-059: CA ETrust Secure Content Manager Common Services Transport Remote Code Execution Vulnerability
Authentication is not required to exploit this vulnerability.
The specific flaw exists in the eTrust Common Services Transport (ECSQdmn.exe) running on port 1882. When making a request to this service a user supplied DWORD value is used in a memory copy operation. Due to the lack of bounds checking an integer can be improperly calculated leading to a heap overflow. If successfully exploited this vulnerability will result in a remote system compromise with SYSTEM credentials.
2008-05-23 - Vulnerability reported to vendor

ZDI-11-045: IBM Lotus Domino IMAP/POP3 Non-Printable Character Expansion Remote Code Execution Vulnerability
Authentication is not required to exploit this vulnerability.
The specific flaw exists within the POP3 and IMAP services while processing malformed e-mails. The vulnerable code expands specific non-printable characters within a "mail from" command without allocating adequate space. By providing enough of these characters, memory can be corrupted leading to arbitrary code execution under the context of the SYSTEM user.
2008-08-26 - Vulnerability reported to vendor

ZDI-11-057: Hewlett-Packard Data Protector Cell Manager Service Authentication Bypass Vulnerability
User interaction is not required to exploit this vulnerability.
The specific flaw exists within the Cell Manager Service which listens by default on a random TCP port. The crs.exe process fails to properly validate supplied username, domain, and hostname credentials. A remote attacker can leverage this flaw to execute code on all Data Protector clients.
2009-01-26 - Vulnerability reported to vendor
09-02-2011, 08:58 door Anoniem
Weer een reden om de rommel van die fabrikanten niet te gebruiken, bedankt voor de info!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search