Néhány közülük ismeretlen hatású, néhányat pedig rosszindulatú támadók kihasználhatnak bizonyos biztonsági előírások megkerülésére, rendszerinformációk megszerzésére, vagy a felhasználó rendszerének kompromittálására.

A kedden kiadott Microsoft-os sérülékenységek mennyisége elmaradt a megszokottól. Négyből három CVE sérülékenység DLL hijacking problémával kapcsolatos, a negyedik egy komoly, távolról kihasználható bug a Windows Media Player / Media Center-ben.

Elhamarkodottan cselekedet Jon Oberheide biztonsági szakértő, mikor jelentette az általa az Android Marketben felfedezett igen jelentős XSS sérülékenységet. Akár 15000$ is üthette volna a markát, ha a sérülékenységet nevezi a hamarosan kezdődő 2011-es Pwn2Own versenyre.

A Cisco nyilvánosságra hozta a Cisco Firewall Services Module (FWSM) egy sérülékenységét, amely  Cisco Catalyst 6500 sorozatba tartózó switcheket és a Cisco 7600 sorozatba tartozó routereket érinti, amelyet kihasználva újraindítható a Cisco FWSM egy speciálisan erre a célra elkészített Skinny Client Control Protocol (SCCP) üzenet segítségével.

Hogy készít a Microsoft magas szinvonalú biztonsági frissítéseket több százmillió rendszerhez világszerte? Tim Rains, a Trustworthy Computing Communications termékcsoport managere bemutat egy mélyre hatoló videósorozatot a folyamatról, ahogy a Microsoft az ügyfeleinek védelmén és a fennakadások minimalizálásán dolgozik.

A TrendLabs tegnapi blogbejegyzésében a sérülékenységi piac működését elemzi. A bejegyzés egy ábra segítségével szemlélteti a felvevőpiacot, a motiváló erőket és a profitálási pontokat.

A Spot the Vuln (Vedd észre a sebezhetőséget) nyílt forráskódú alkalmazások kódrészletein keresztül mutatja be a webalkalmazások lehetséges biztonsági sebezhetőségeit. Minden hétfőn publikálnak egy kódrészletet, amit átnézve kell megtalálni a sérülékenységet. Ez kb. 5-10 percet vesz igénybe. Péntekenként publikálják a megoldást, hogy mi volt a hiba és hogyan javították ki, így összevetheti azt a saját megoldásával, valamint biztonságos programozási technikákat ismerhet meg.

Úgy tűnik, hogy a szolgáltatás megtagadást (DoS) előidéző támadások majdnem minden naposak az újságokban. Ideértve a nemrégiben felfedett Internet Explorer 8 sérülékenységét.

Néhányak szerint (VUPEN) a sérülékenység kihasználható, ugyanakkor mások szerint vagy egyáltalán nem lehet kihasználni, vagy igencsak nehézkes. Ebben a cikkben bemutatásra kerül, hogy a sérülékenység valójában nem DoS és nem is lehetetlen a kihasználása.

(Megjegyzés: XP SP3 operációs rendszeren és IE8 MS10-071 javítócsomaggal ellenőrizve)

Tegnapi nap az Adobe figyelmeztetést adott ki egy eddig ismeretlen 0-day sérülékenységről az Adobe Reader és Acrobat szoftvereiben. A sérülékenység jelenleg is kihasználható.
A sérülékenység mechanizmusáról bővebben itt:
http://www.securelist.com/en/blog/2287/Adobe_Reader_zero_day_attack_now_...

A Windows DLL eltérítési hibával kapcsolatos sztorik lecsengése után, igencsak úgy tűnik, hogy bizonyos Linux disztribúciók is hasonló sérülékenységnek vannak kitéve.

http://threatpost.com/en_us/blogs/some-linux-distros-vulnerable-version-...