Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 31 December 2010

2010.12.31 - Nyhetsbrev

Lite nytt siste døgn. Flere melder derimot om Lookout, et sikkerhetsselskap rettet mot mobiler, har funnet en trojaner med botnet-egenskaper på et 3.parts Android Market i Kina.

Android-trojaner med botnet-egenskaper

Lookout Security, et selskap som driver med sikkerhet på mobiltelefoner, skriver i en blogpost at de har funnet en trojaner pakket inn i legitime spill og programmer, på en 3. parts Android Market i Kina. Trojaneren skal være veldig sofistikert, ha botnet-egenskaper og sender brukerinformasjon til bestemte servere.
Referanser
http://blog.mylookout.com/2010/12/geinimi_trojan/

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 30 December 2010

2010.12.30 - Nyhetsbrev

Wordpress er ute i 3.0.4, retter en kritisk feil og alle bør oppgradere.

Wordpress ute i versjon 3.0.4

Wordpress melder om en kritisk feil og anbefaler alle å oppdatere snarest, selv om det er juleferie for mange. Det er sparsomt med detaljer, men det gjelder en stor svakhet i HTML-valideringsrutinene. En regner med det er snakk om tilgang til data, om ikke også ekstern kodeeksekvering.
Anbefaling
Oppdater snarest til siste versjon.
Referanser
http://wordpress.org/news/2010/12/3-0-4-update/

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 29 December 2010

2010.12.29 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 28 December 2010

2010.12.28 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 27 December 2010

2010.12.27 - Nyhetsbrev

Det har vært en rolig jul. I løpet av julen har det blusset opp spekulasjoner omkring hvorvidt Stuxnet kan stå bak en episode hvor 1000 sentrifuger måtte skiftes ut ved Irans atomanlegget i Natanz.

Nye spekulasjoner rundt virkningene av Stuxnet.

I løpet av julen har det blusset opp nye spekulasjoner omkring virkningene av Stuxnet. Institute for Science and International Security gav 22.desember ut en rapport med tittelen: "Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? Preliminary Assessment". Rapporten omtaler en episode hvor Iran måtte skifte ut hele 1000 sentrifuger og spekulerer i om dette kan skyldes Stuxnet.
Referanser
http://isis-online.org/isis-reports/detail/did-stuxnet-take-out-1000-centrifuges-at-the-natanz-enrichment-plant/

Full HTML-versjon av dagens nyhetsbrev.

Friday, 24 December 2010

2010.12.24 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 23 December 2010

2010.12.23 - Nyhetsbrev

Ny alvorlig svakhet i Microsoft IIS FTP Service 7.5. Det rapporteres om mulighet for denial of service og enkelte har spekulert i muligheten for å kunne utnytte den til å kjøre vilkårlig kode. Ifølge Microsoft er det imidlertid lite trolig at sistnevnte vil være mulig. Det foreligger ingen løsning på problemet pt.

Microsoft IIS FTP Tjenestenekt Sårbarhet

Det er oppdaget en sårbarhet i IIS FTP Service som kan gi en angriper mulighet til å forårsake tjenestenekt på sårbare systemer.

Sårbarheten, som ble oppdaget av Matthew Bergin, utføres ved at en spesiallaget forespørsel sendes til serveren. Denne forespørselen kan sørge for at tjenesten kræsjer. Det har i ulike forum blitt diskutert hvorvidt vilkårlig kode kan kjøres. Ifølge Microsoft er det lite trolig da en angriper ikke har kontroll over områdene som overskrives og DEP (Data Execution Prevention) vil forsøke å beskytte mot bruk av metoder som f.eks Heap Spray for å få kjørt kode.

Koden for å utføre angrepet er publisert og fritt tilgjengelig for alle å laste ned. Det finnes i skrivende øyeblikk ingen oppdatering eller løsning for å fikse dette problemet. Det anbefales derfor å begrense tilgang til tjenesten for å minske sannsynligheten for at et angrep skal finne sted.
Anbefaling
Begrense tilgang til tjenesten.
Referanser
http://blogs.technet.com/b/srd/archive/2010/12/22/assessing-an-iis-ftp-7-5-unauthenticated-denial-of-service-vulnerability.aspx

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 22 December 2010

2010.12.22 - Nyhetsbrev

Det har blitt lansert en 0-day exploit til IE7 og IE8 via rammeverket Metasploit. Sårbarheten gir mulighet for å kjøre vilkårlig kode på et sårbart system.

0-day exploit er lansert til Internet Explorer 7 og 8.

Det har blitt lansert en 0-day til Internet Explorer 7 og 8 via exploit-rammeverket Metasploit.
Exploiten baserer seg på en sårbarhet i mshtml-biblioteket til IE - og inntreffer dersom en utsatt bruker besøker en nettside med spesialdesignet HTML-kode.

Foreløpig finnes det ingen sikkerhetsoppdateringer mot dette problemet, og Microsoft har heller ikke kommet med noen offisielle uttalelser.

TSOC har valgt å kategorisere denne exploiten som kritisk da koden er fritt tilgjengelig i Metasploit, og det har allerede begynt å dukke opp websider som viser ned til den minste detalj hvordan angrepet skal utføres.
Anbefaling
Vi anbefaler alle våre lesere å være ytterst forsiktig med lenker hvor en ikke har tidligere kjennskap til det domenet den peker mot.
Referanser
https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms11_xxx_ie_css_import.rb
http://pentestn00b.wordpress.com/2010/12/20/new-metasploit-goodness-ms11_xxx_ie_css_import-exploit/

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 21 December 2010

2010.12.21 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 20 December 2010

2010.12.20 - Nyhetsbrev

Intel utvikler en ny CPU med fjernstyrt kill switch funksjonalitet.

Intel utvikler ny CPU med fjernstyrt "kill-switch"

Intel's oppkjøp av Mcafee varslet ytterligere fokus på sikkerhet og under utvikling av neste generasjon prosessorer er dette videreført. Den nye Sandy Bridge prosessoren kommer med en fjernstyrt "kill-switch" som gjør det mulig å stenge ned CPU'en over mobilt 3G-nett.

Hensikten er å gjøre det enklere å stenge ned og gjøre PC'en ubrukelig ved tyveri. Trolig vil det likevel være mulig å bytte ut til en ny CPU og harddisken vil fortsatt være tilgjengelig og bør naturligvis være kryptert.

Det er flere ubesvarte spørsmål knyttet til hvor godt systemet vil fungere i praksis og mange vil nok la være å benytte funksjonaliteten. Kriminelle vil naturligvis forsøke å finne svakheter i håp om å åpne opp en ny angrepsvektor.
Referanser
http://www.techspot.com/news/41643-intels-sandy-bridge-processors-have-a-remote-kill-switch.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 17 December 2010

2010.12.17 - Nyhetsbrev

Opera har kommet ut i ny versjon.

Opera Browser Multiple Code Execution and Security Bypass Vulnerabilities

Flere svakheter har blitt oppdaget i Opera, og kan utnyttes av angripere fra et eksternt ståsted. Dette kan i verste fall føre til eksekvering av skadelig kode. Alle brukere av Opera anbefales å oppgradere til nyeste versjon så fort det lar seg gjøre.
Anbefaling
Oppgrader til nyeste versjon.
Referanser
http://www.opera.com/support/kb/view/977/
http://www.opera.com/support/kb/view/979/
http://www.opera.com/docs/changelogs/unix/1100/
http://www.opera.com/docs/changelogs/windows/1100/

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 16 December 2010

2010.12.16 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 15 December 2010

2010.12.15 - Nyhetsbrev

I går var det Microsoft patche-tirsdag og det ble sluppet hele 17 sikkerhetsoppdateringer denne gangen. 2 av dem har Microsoft vurdert som "critical", en som "moderate" og de resterende "important". Vi anbefaler at man snarest oppdaterer. Google benyttet anledningen til å samtidig slippe en oppdatering til Chrome som fikser 5 sårbarheter.

Cumulative Security Update for Internet Explorer (2416400) (MS10-090)

Dette er en samle-oppdatering for Internet Explorer, og den reparerer 7 forskjellige sårbarheter. Årsaken til de kritiske sårbarhetene er feilhåndtering av HTML objekter i minnet. Flere av sårbarhetene kan føre til kjøring av vilkårlig kode. En mulig angrepsvektor er å lure brukere til å besøke websider som inneholder spesielt utformet HTML-kode.
Anbefaling
Installer oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/MS10-090.mspx

Vulnerabilities in the OpenType Font (OTF) Driver Could Allow Remote Code Execution (2296199) (MS10-091)

Det er oppdaget 3 forskjellige sårbarheter i Windows Open Type (OTF) driveren. Årsaken til sårbarhetene ligger i feilhåndtering av datastrukturer og arbeidsminne når driveren skal rendre fonter. Vellykket utnyttelse fører til kjøring av vilkårlig kode, med rettigheter på kjerne-nivå.
Anbefaling
Installer oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/MS10-091.mspx

Vulnerability in Microsoft Windows Could Allow Remote Code Execution (2385678) (MS10-095)

Denne oppdateringen dreier som en sårbarhet i Microsoft Windows. Problemet kunne muliggjort eksekvering av vilkårlig kode dersom brukeren av det utsatte systemet åpnet en filtype av formatene .eml, .rss eller .wpost som er lokalisert i samme nettverkskatalog som et spesialutviklet databibliotek. Dersom brukeren lastet inn filen, ville biblioteket også blitt åpnet samtidig, og maskinen ville vært kompromittert.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-095.mspx

Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2436673) (MS10-098)

Microsoft melder om en sårbarhet i kjerne-drivere til Windows. Dersom en angriper lykkes i å utnytte denne, vil han få mulighet til å øke sine egne rettigheter til å kjøre programmer i samme kontekst som en Administrator på det sårbare systemet. Et vellykket angrep krever at angriperen har mulighet til å logge på maskinen med gyldig brukernavn/passord.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-098.mspx

Insecure Library Loading in Internet Connection Signup Wizard Could Allow Remote Code Execution (2443105) (MS10-097)

Det har blitt oppdaget et problem i "Internet Connection Signup Wizard" som finnes i Microsoft Windows. Dette kunne potensielt latt angripere kjøre vilkårlig kode på det utsatte systemet dersom han klarte å overbevise brukeren om å åpne en .ins eller .isp-fil som er lokalisert i samme nettverkskatalog som et spesialutviklet databibliotek. Hvis brukeren lastet inn filen, ville biblioteket blitt åpnet samtidig, og maskinen ville vært kompromittert.

Denne sårbarheten gjelder ikke for Vista, Windows Server 2008, Windows Server 2008 R2 eller Windows 7.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-097.mspx

Vulnerability in Windows Address Book Could Allow Remote Code Execution (2423089) (MS10-096)

Microsoft melder om et sikkerhetshull som er oppdaget i Windows Address Book. Hullet kunne potensielt latt angripere kjøre vilkårlig kode på det sårbare systemet dersom han klarte å overbevise brukeren om å åpne en "Windows Address Book"-fil som er lokalisert i samme nettverkskatalog som et spesialutviklet databibliotek. Dersom brukeren lastet inn filen, ville biblioteket også blitt åpnet samtidig, og maskinen ville blitt kompromittert.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-096.mspx

Vulnerability in Consent User Interface Could Allow Elevation of Privilege (2442962) (MS10-100)

En sårbarhet har blitt oppdaget i Microsoft Windows som kan bli utnyttet av lokale brukere for å oppnå økte rettigheter. Problemet skyldes en feil i komponenten "UAC (User Account Control) Consent UI" ved prosessering av enkelte registerverdier. Et vellykket angrep krever at angriperen har lokal tilgang til maskinen.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-100.mspx

Vulnerability in Windows Media Encoder Could Allow Remote Code Execution (2447961) (MS10-094)

Det har blitt oppdaget en svakhet i Windows Media Encoder. Hullet kunne potensielt latt angripere kjøre vilkårlig kode på det utsatte systemet dersom han klarte å overbevise brukeren om å åpne en "Windows Media Profile"-fil (.prx) som er lokalisert i samme nettverkskatalog som et spesialutviklet databibliotek. Dersom brukeren lastet inn filen, ville biblioteket også blitt åpnet samtidig, og maskinen ville blitt kompromittert.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-094.mspx

Vulnerability in Windows Movie Maker Could Allow Remote Code Execution (2424434) (MS10-093)

Microsoft melder om at et sikkerhetshull i Windows Movie Maker (WMM) nå er tettet. Hullet kunne potensielt latt angripere kjøre vilkårlig kode på det utsatte systemet dersom han klarte å overbevise brukeren om å åpne en WMM-fil som er lokalisert i samme nettverkskatalog som et spesialutviklet databibliotek. Dersom brukeren lastet inn filen, ville biblioteket også blitt åpnet samtidig, og maskinen ville blitt kompromittert.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-093.mspx

Vulnerability in Task Scheduler Could Allow Elevation of Privilege (2305420) (MS10-092)

Denne oppdateringen fikser en sårbarhet som omhandlet Windows Task Scheduler. Dersom en angriper klarte å få kjøre en spesialdesignet applikasjon på et utsatt system, kunne det potensielt ført til at angriperen ville fått økt rettighetene sine. Den aktuelle sårbarheten gjaldt kun på lokale systemer, og ville ikke vært mulig å utnytte fra eksterne eller anonyme brukere.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-092.mspx

Google fikser sårbarheter i Chrome

Google har publisert en ny utgave av nettleseren Chrome hvor 5 sårbarheter er fikset. To av disse skal være rangert med høy prioritet, hvorav den éne kun gjelder 64-bits utgaver av Linux.
Foreløpig har Google valgt å være sparsomme med detaljer rundt sårbarhetene, men det som har blitt publisert kan nåes via lenken som er vedlagt som referanse.
Anbefaling
Legg inn den nye utgaven.
Referanser
http://googlechromereleases.blogspot.com/2010/12/stable-beta-channel-updates_13.html

Vulnerability in Windows Netlogon Service Could Allow Denial of Service (2207559) (MS10-101)

Denne patchen fikser et problem i tjenesten Netlogon RPC på bestemte utgaver av Windows Server som er konfigurert til å være domenekontrollere. Sårbarheten kan potensielt føre til tjenestenekt dersom en angriper sender spesialdesignete RPC-pakker til denne tjenesten. Et vellykket angrep krever administrator-tilgang til en maskin som er i samme domenet som domenekontrolleren styrer.
Anbefaling
Legg inn oppdatering,
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-101.mspx

Vulnerability in Hyper-V Could Allow Denial of Service (2345316) (MS10-102)

Denne oppdateringen fikser en sårbarhet som er oppdaget i Hyper-V på Windows Server 2008 og Windows Server 2008 R2. I verste fall vil sårbarheten føre til tjenestenekt dersom en spesialdesignet pakke sendes til VMBus'en fra en autentisert bruker i en av de virtuelle maskinene som kjører på tjeneren. Et vellykket angrep krever at en ondsinnet bruker har tilgang til en maskin som kjøres av Hyper-V-tjeneren.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-102.mspx

Vulnerabilities in Microsoft Publisher Could Allow Remote Code Execution (2292970) (MS10-103)

Denne patchen fikser hele 5 sårbarheter som har blitt rapportert i Microsoft Publisher. I verste fall vil en av disse sårbarhetene føre til ekstern eksekvering av kode fra en ondsinnet bruker. Et vellykket angrep krever at brukeren av det sårbare systemet åpner en spesialdesignet Publisher-fil. Dersom dette skjer, vil angriperen få fullstendig kontroll over systemet.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-103.mspx

Vulnerability in Microsoft SharePoint Could Allow Remote Code Execution (2455005) (MS10-104)

Microsoft rapporterer om et sikkerhetshull som nylig ble oppdaget og tettet i Microsoft SharePoint. Sårbarheten kunne gitt en angriper mulighet til å kjøre vilkårlig kode i konteksten til en gjestebruker dersom han sendte en spesialdesignet spørring med SOAP-protokollen til tjenesten "Document Conversions Launcher". Denne tjenesten er deaktivert som standard i SharePoint Server 2007.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-104.mspx

Vulnerabilities in Microsoft Office Graphics Filters Could Allow for Remote Code Execution (968095) (MS10-105)

7 sårbarheter i Microsoft Office er oppdaget og er nå tettet igjen med denne oppdateringen. Dersom en angriper hadde utnyttet én av disse sårbarhetene, ville han i verste fall fått mulighet til å kjøre vilkårlig kode på det sårbare systemet. Koden ville da kjørt i samme kontekst som den lokale brukeren.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-105.mspx

Vulnerability in Routing and Remote Access Could Allow Elevation of Privilege (2440591) (MS10-099)

Det har blitt oppdaget en sårbarhet i hvordan Windows behandler "Routing and Remote Access NDProxy"-komponenter. Dersom en angriper klarer å logge på maskinen med gyldig brukernavn og passord, og kjører et spesialutviklet program, vil han potensielt få mulighet til å øke sine egne rettigheter til administrator.

Denne sårbarheten gjelder ikke for Vista, Windows Server 2008, Winsows Server 2008 R2 eller Windows 7.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-099.mspx

Vulnerability in Microsoft Exchange Server Could Allow Denial of Service (2407132) (MS10-106)

Denne oppdateringen fikser et problem som har blitt rapportert i Microsoft Exchange Server. Dersom en spesialdesignet nettverkspakke sendes til serveren kan det potensielt føre til tjenestenekt. Ved å følge 'best practice' innen bruk av brannmurer, samt å benytte seg av standardkonfigurasjoner, vil dette hjelpe med å beskytte nettverk fra angrep som kommer fra utsiden av nettverket. Best practice i dette tilfellet vil si å minimere antallet eksponerte porter på maskiner som er tilgjengelig fra internett.
Anbefaling
Legg inn oppdatering.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-106.mspx

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 14 December 2010

2010.12.14 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 13 December 2010

2010.12.13 - Nyhetsbrev

I løpet av en ukes tid har DoubleClick og MSN levert ondsinnede bannerannonser til store, legitime og seriøse nettsider og dermed utsatt brukerne av disse for drive-by angrep.

Bannerannonsenettverk har servert malware.

TSOC har tidligere beskrevet tilfeller av legitime bannernettverk som på ulik vis har endt opp med å servere brukere malware. Nå har det skjedd igjen. I løpet av en ukes tid har DoubleClick og MSN levert ondsinnede bannerannonser til store, legitime og seriøse nettsider og dermed utsatt brukerne av disse for drive-by angrep hvor ulike typer exploits er blitt benyttet for å infisere brukerne. Ved å utgi seg for å være Adshuffle, en leverandør av bannerteknologi og distributør for ulike nettverk, har de klart å plassere sine egne ondsinnede annonser. Uten brukerinteraksjon har sårbare besøkende på websidene blitt infisert av malware.
Referanser
https://threatpost.com/en_us/blogs/major-ad-networks-found-serving-malicious-ads-121210

RealPlayer Data Processing Multiple Code Execution Vulnerabilities

Referanser

Full HTML-versjon av dagens nyhetsbrev.

Friday, 10 December 2010

2010.12.10 - Nyhetsbrev

Microsoft har sluppet noe detaljer om neste ukes oppdateringer, og Firefox er ute i versjon 3.6.13 som fikser 11 ulike svakheter.

Det er også kommet rapporter som tyder på at Exim4 pakken i Debian Lenny pakkebrønn mangler en sikkerhetsfiks som gjør den sårbar fra eksternt ståsted.

Firefox fikser svakheter

Firefox har sluppet versjon 3.6.13 av sin nettleser. Denne skal fikse totalt 11 ulike svakheter i nettleseren, der de mest alvorlige svakhetene skal kunne brukes til å få kjørt vilkårlig kode.
Referanser
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.13

Microsoft Releases Advance Notification for December Security Bulletin

Microsoft melder at de i neste uke kommer til å slippe totalt 17 sikkerhetsoppdateringer. To av dem er rangert som kritiske og er rettet mot Microsoft Windows og Internet Explorer. 14 av oppdateringene blir regnet som viktige, og gis ut for Microsoft Windows, Office og Sharepoint. De resterende oppdateringene er av moderat alvorlighetsgrad, og slippes for Microsoft Exchange.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms10-dec.mspx

Sårbar versjon av Exim4 i Debian Lenny pakkebrønn

Det er blitt meldt om "up-to-date" Debian Lenny installasjoner som er blitt kompromittert vha. en Exim4 svakhet. Det ble i utgangspunktet spekulert i om det var snakk om en ny svakhet, men det ser nå ut til at svakheten er blitt fikset tidligere. Det ser derfor ut som om Exim4 pakken av en eller annen grunn ikke har fått denne fiksen i Lenny's pakkebrønn.
Anbefaling
Referanser
http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html#exim-dev

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 9 December 2010

2010.12.09 - Nyhetsbrev

Intet nytt.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 8 December 2010

2010.12.08 - Nyhetsbrev

Apple har sluppet en oppdatering til den populære medieavspilleren Quicktime som blant annet adresserer en meget alvorlig svakhet.

Apple QuickTime PICT Memory Corruption Vulnerability

En sårbarhet er oppdaget i Apple QuickTime som gjør det mulig for en ekstern angriper å eksekvere vilkårlig kode i samme kontekst som brukeren som kjører på det utsatte systemet.

Problemet skyldes en svakhet i hvordan spesialdesignede PICT-bildefiler blir behandlet av QuickTime PictureViewer.
Anbefaling
Apple har sluppet en oppdatering som fikser problemet, og det anbefales å oppdatere ved første anledning.
Referanser
http://support.apple.com/kb/HT4447

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 7 December 2010

2010.12.07 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 6 December 2010

2010.12.06 - Nyhetsbrev

Det er blitt sluppet en paper som beskriver potensielle svakheter i Internet Explorer protected mode, og beskriver en fungerende metode for å forbigå protected mode.

Oppdateringer er sluppet til VMware og Google Chrome er ute i ny versjon.

Google Releases Chrome 8.0.552.215

Google er ute med versjon 8.0.552.215 av Chrome. Denne versjonen retter opp i over 800 bugs og inneholder stabilitets utbedringer. I tillegg har også innebygget PDF støtte som ble nevnt i vårt nyhetsbrev 02.12.2010 blitt inkludert.

13 svakheter, derav 4 kritiske, er også blitt fikset. Vi anbefaler alle som bruker Chrome om å oppdatere så fort det lar seg gjøre.
Referanser
http://googlechromereleases.blogspot.com/2010/12/stable-beta-channel-updates.html

Internet Explorer protected mode bypass

Det er blitt publisert en paper om ulike svakheter i implementasjonen av "Protected Mode" i Internet Explorer. Det ble i den forbindelse publisert detaljer om en spesifikk metode som gjør det mulig å få kjørt kode med eleverte rettigheter ved å forbigå Proteced Mode.

Proteced mode er beregnet til å forhindre at eventuelle svakheter som utnyttes i Internet Explorer skal kunne gi angriperen rettigheter som muliggjør systemendringer. Det viser seg at det med begrensede rettigheter i protected mode blant annet er mulig å lytte på en tilfeldig port på loopback interfacet. Dette kan brukes til å servere en exploitkode en andre gang, men den vil denne gangen bli åpnet i "Local Intranet Zone", og vil derfor kunne oppnå høyere rettigheter.

Dette skal fungere i både Internet Explorer 7 og 8, og skal fungere på alle maskiner som har "Intranet Zone" skrudd på, noe som er standard på alle maskiner som er medlem av et domene.

Se vår kilde for hele beskrivelsen.
Referanser
http://www.verizonbusiness.com/resources/whitepapers/wp_escapingmicrosoftprotectedmodeinternetexplorer_en_xg.pdf

VMware hosted products and ESX patches resolve multiple security issues

Det har blitt oppdaget svakheter i flere VMWare-produkter som kan utnyttes av en lokal bruker på host-systemet til å få kjørt vilkårlig kode og/eller kommandoer med root/system rettigheter.
Anbefaling
Apply patch according to: http://www.vmware.com/security/advisories/VMSA-2010-0018.html
Referanser
http://www.securityfocus.com/bid/45168
http://www.vmware.com/security/advisories/VMSA-2010-0018.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 3 December 2010

2010.12.03 - Nyhetsbrev

ProFTPD sine offisielle distribusjonsservere har blitt angrepet og Wordpress er ute i ny versjon hvor flere sårbarheter er fikset.

ProFTPD sine offisielle distribusjonsservere har blitt angrepet

Hackerne har i følge kilden mest sannsynlig brukt en upatchet svakhet mot FTP serveren deres for å oppnå tilgang. Herfra har de byttet ut ProFTPD versjon 1.3.3c med deres egen versjon som inneholdt en bakdør. Bakdøren gir hackerne full tilgang til systemet den har blitt installert på. Dette skjedde den 28. november i år. Serverne er den offisielle distribusjonskanalen for den populære FTP server programvaren. Noe som betyr at alle som har lastet ned ProFTPD 1.3.3c fra ftp.proftpd.org eller rsync.proftd.org mellom 28. november og 02. desember i år mest sannsynlig også har fått med seg en bakdør. Serveren denne programvaren har blitt installert på er derfor etter all sannsynlighet kompromittert.
Referanser
http://sourceforge.net/mailarchive/message.php?msg_name=alpine.DEB.2.00.1012011542220.12930%40familiar.castaglia.org

WordPress ute i ny versjon

Det populære webpubliseringsverktøyet er ute i ny versjon. Her fikses det en rekke bugs og svakheter der den mest alvorlige kan gi en angriper med publiseringsrettigheter (author) mulighet til å få videre tilgang til serveren. Svakheten gjelder i alle versjoner av Wordpress. Oppdatering anbefales derfor på det sterkeste.
Anbefaling
Oppdater snarest! En innlogget administrator kan gjøre dette via Dashboard > Updates.
Referanser
http://wordpress.org/news/2010/11/wordpress-3-0-2/

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 2 December 2010

2010.12.02 - Nyhetsbrev

Google utvider sandbox i Chrome til å inkludere Adobe Flash Player som har hatt svært mange alvorlige sårbarheter.

Google utvider sandbox i Chrome

Google har sluppet en testversjon av Chrome som utvider sandkasseløsningen til å inkludere Adobe Flash Player. Utviklere hos Google og Adobe har samarbeidet om å utvikle funksjonaliteten i Windows og skal etter planen utvide til Mac OS X og Linux.
Referanser
http://packetstormsecurity.org/news/view/18243/Google-Extends-Security-Sandbox-To-Adobe-Flash.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 1 December 2010

2010.12.01 - Nyhetsbrev

Det har blitt gitt ut en oppdatering til VMWare ESX server 4.1. Ellers har det vært et rolig døgn.

VMware ESX Service Console Kernel Privilege Escalation Vulnerability

Svakheten kan gi en lokal bruker mulighet for å kunne eskalere sine rettigheter. Noe som vil gi brukeren tilgang til informasjon og eventuelt også endre innstillinger på ESX serveren. Dette gjelder kun i de tilfeller brukeren har lokal tilgang til selve serveren, ikke via for eksempel virtualcenter. Oppdatering anbefales derfor i de tilfeller der en ikke har full kontroll på hvem som har lokal tilgang til ESX serverene.
Anbefaling
Installer patch
Referanser
http://lists.vmware.com/pipermail/security-announce/2010/000111.html

Full HTML-versjon av dagens nyhetsbrev.