Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 31 March 2011

2011.03.31 - Nyhetsbrev

Cisco har sluppet oppdateringer til Cisco Secure ACS og Cisco NAC.

Cisco Releases Security Advisories for ACS and NAC

Cisco er ute med sikkerhetsoppdateringer til Cisco Secure ACS og Cisco NAC. Oppdateringene fikser svakheter som kan gi uautoriserte brukere tilgang til systemer og nettverk. Se referanser for detaljert info.
Anbefaling
Installer patch.
Referanser
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74117.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74114.shtml

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 30 March 2011

2011.03.30 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 29 March 2011

2011.03.29 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 28 March 2011

2011.03.28 - Nyhetsbrev

MySQL.com har blitt hacket via SQL injection.

Brukere av musikktjenesten Spotify har blitt angrepet vi reklamebannere.

Google har publisert en ny versjon av nettleseren Chrome som tetter 6 alvorlige sikkerhetshull.

MySQL.com hacket via SQL injection

MySQL.com har blitt hacket vha. av SQL injection. Angriperne har publisert innhold som brukernavn og passord(hashed) på Internett som bevis på ugjerningen. Ifølge Sophos er det ikke sårbarheter i MySQL programvaren, men oppsettet som er årsaken til det vellykkede innbruddet.
Referanser
http://seclists.org/fulldisclosure/2011/Mar/309?utm_source=twitterfeed&utm_medium=twitter
http://nakedsecurity.sophos.com/2011/03/27/mysql-com-and-sun-hacked-through-sql-injection/

Spotify splattered with malware-tainted ads

Torsdag i forrige uke ble flere brukere av Spotify infisert av malware. De ble infisert ved at Spotify-programmet i Windows viste annonser som inneholdt malware. Malwaren har utnyttet svakheter i Java, Adobe og Microsoft HCP for å infisere maskinene. Kun brukere av gratis-utgaven av Spotify ble rammet, siden det bare er denne som viser annonser.

Spotify sluttet på fredag å vise annonser i Spotify inntil de klarer å finne ut hvilken annonse som inneholder malwaren.
Referanser
http://www.theregister.co.uk/2011/03/25/spotify_malvertisement_attack/

Google Releases Chrome 10.0.648.204

Google har sluppet en ny versjon av deres nettleser Chrome. Den nye versjonen tetter seks tildels alvorlige sikkerhetshull. Oppgradering anbefales.
Anbefaling
Upgrade to 10.0.648.204
Referanser
http://www.us-cert.gov/current/index.html#google_releases_chrome_10_03
http://googlechromereleases.blogspot.com/2011/03/stable-channel-update.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 25 March 2011

2011.03.25 - Nyhetsbrev

Det er blitt lagt ut en sak på vår blogg der vi etter en undersøkelse har oppsummert fellesnevnere for våre mest sikre kunder.

Hva gjør at noen bedrifter har færre sikkerhetshendelser enn andre?

Vi har lagt ut en ny bloggpost. Denne posten oppsummerer en kundeundersøkelse vi har hatt rundt sikkerhet i noen av våre kunders nettverk.
Referanser
http://telenorsoc.blogspot.com/2011/03/hva-gjr-at-noen-bedrifter-har-frre.html

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 24 March 2011

2011.03.24 - Nyhetsbrev

Sertifikatutstederen Comodo har utstedet flere falske sertifikater etter et innbrudd. Se under for detaljer.

Falske sertifikater utstedt av Comodo

En partner av sertifikatutstederen "Comodo" har blitt kompromittert. Den kompromitterte kontoen har blitt brukt til å utstede ni falske sertifikater, tilhørende diverse store nettsteder. Disse sertifikatene kan brukes til å spoofe innhold, phishing eller man-in-the-middle angrep. Comodo er en godkjent leverandør av sertifikater (root authority) som både de store nettleserne, Windows og Mac OS X stoler på.

Følgende domener er påvirket:
login.live.com
mail.google.com
www.google.com
login.yahoo.com (3 sertifikater)
login.skype.com
addons.mozilla.org
"Global Trustee"

Samtidig melder Comodo på sine egne sider at selv om angrepet kom fra mange IP adresser, var det hovedsaklig IP-adresser fra Iran. De forklarer også at angriperen(e) var godt forbredt og viste hva de var på jakt etter. Comodo tilbakekalte sertifikatene så snart de oppdaget hva som hadde skjedd. Etter å ha sett gjennom hendelsen, har de konkludert med at dette var et "state-driven" angrep fra den Iranske stat.

Målet bak angrepet er mest sannsynlig å stjele innloggingsinformasjon fra brukere av nettstedene som det er laget falske sertifikater for. En angriper vil trenge både de falske sertifikatene og tilgang til selve trafikkstrømmen for å gjennomføre et slikt angrep. Det blir derfor spekulert i om en stat står bak angrepet.

Sertifikatene har nå blitt lagt i "svartelister" og både Firefox og Microsoft har sluppet oppdateringer som gjør at deres nettlesere ikke vil bli lurt av dem. Firefox 4 og Internet Explorer 9 sjekker også automatisk om et sertifikat er svartelistet før oppkoblingen skjer.
Referanser
http://www.microsoft.com/technet/security/advisory/2524375.mspx
http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
http://nakedsecurity.sophos.com/2011/03/24/fraudulent-certificates-issued-by-comodo-is-it-time-to-rethink-who-we-trust/

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 23 March 2011

2011.03.23 - Nyhetsbrev

Nettleseren Mozilla Firefox har blitt gitt ut i versjon 4.

Firefox 4 er lansert

Mozilla Firefox har nå kommet ut i ny versjon, etter å ha vært i beta i over åtte måneder. Den nye utgaven kommer med et nytt brukergrensesnitt, og har blant annet innebygget støtte for HTML5.

Det har også blitt lagt til en sikkerhetsmekaniske kalt "Do Not Track" (DNT), som skal legges ved i spørringer som gjøres fra nettleseren mot ulike websider. Dersom dette aktiveres, gjør du klart for nettsidene du besøker at du ikke ønsker at de skal loggføre aktiviteten eller prøve å spore hvor du befinner deg (via tjenester som IP2Location). Det regnes kun som et forslag, og det er opp til de ulike nettstedene om de ønsker å legge til rette for denne funksjonaliteten eller ikke.

For mer informasjon om Firefox 4, og øvrig funksjonalitet, se vedlagte lenker.
Referanser
http://www.mozilla.com/en-US/firefox/features/
http://www.h-online.com/open/features/What-s-new-in-Firefox-4-0-1212755.html

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 22 March 2011

2011.03.22 - Nyhetsbrev

Adobe har sluppet oppdateringer til Reader og Flash. Apple har sluppet en større sikkerhetsoppdatering til Max OS X.

Det har blitt lansert en ny versjon av PHP som utbedrer flere svakheter. Samtidig har også sidene som PHP blir hostet på blitt kompromittert, men selve PHP-prosjektet skal ikke ha blitt påvirket.

Det har blitt sluppet en pakke med exploits til industrielle styringssystemer (SCADA).

Dozens of exploits released for popular SCADA programs

Det har blitt sluppet informasjon rundt svakheter i flere SCADA-systemer. Slike systemer brukes til kontroll av industrielle produksjonsprosesser. Denne typen angrep fikk stort fokus etter at Stuxnet-ormen ble brukt til et målrettet angrep mot Irans atomprogram for noen måneder siden.
Referanser
http://www.theregister.co.uk/2011/03/22/scada_exploits_released/

PHPs wiki har blitt kompromittert

Utviklerne av PHP skriver i en nyhet på deres hjemmesider at wikien deres har blitt kompromittert. Angriperen skal ha klart å komme seg inn på serveren som hoster wikien, og brukt en lokal Linux root-exploit for å øke sine egne rettigheter. Deretter skal han ha klart å få tak i brukernavn og passord til en rekke wiki-kontoer.

Ingen andre servere i deres infrastruktur skal ha blitt angrepet, men det spekuleres i hvorvidt angriperen har klart å injisere ondsinnet kode i PHPs kildekode. Som en følge, har utviklerne tatt en grundig gjennomgang av samtlige commits til SVN-repoet siden versjon 5.3.5. Foreløpige undersøkelser viser at det ikke har blitt gjort endringer.
Referanser
http://www.php.net/archive/2011.php#id2011-03-19-2

Adobe Reader/Acrobat Security Update

Det har blitt oppdaget en alvorlig svakhet i authplay.dll-komponenten som følger med Adobe Reader og Acrobat X. Svakheten kan potensielt føre til at en angriper får full kontroll over et utsatt system. Vi anbefaler alle brukere av programvaren om å oppdatere til nyeste versjon så fort det lar seg gjøre.
Anbefaling
Oppdater til nyeste versjon så fort som mulig.
Referanser
http://www.adobe.com/support/security/bulletins/apsb11-06.html

Adobe Releases Flash Player Update

Adobe har sluppet en oppdatering til Flash Player som retter opp i en alvorlig sårbarhet. Vellykket utnyttelse kan i verste fall føre til at en angriper får eksekvert skadelig kode på et utsatt system. Vi anbefaler alle brukere av Adobe Flash Player om å oppdatere så fort det lar seg gjøre.
Anbefaling
Vi anbefaler alle brukere av Adobe Flash Player om å oppdatere så fort det lar seg gjøre.
Referanser
http://www.adobe.com/support/security/bulletins/apsb11-05.html

PHP Multiple Code Execution and Denial of Service Vulnerabilities

Før helgen ble det lansert en ny utgave av PHP som skal fikse en rekke sårbarheter. Disse retter seg i hovedsak mot tjenestenekt og eksekvering av vilkårlig kode. Oppdateringen inkluderer også andre sikkerhetsrelaterte forbedringer.

Dersom du har en produksjonsserver som benytter seg av php, anbefales det at du oppdater ved første anledning.
Anbefaling
Oppdater ved første anledning.
Referanser
http://www.php.net/archive/2011.php#id2011-03-17-1

Apple slipper større sikkerhetsoppdatering til Mac OS X

Apple har sluppet en større oppdatering (v.10.6.7) til Mac OS X som utbedrer en rekke svakheter. Brukere av dette operativsystemet bør kjøre Software Update så fort som mulig.
Anbefaling
Referanser
http://support.apple.com/kb/HT4581

Full HTML-versjon av dagens nyhetsbrev.

Monday, 21 March 2011

2011.03.21 - Nyhetsbrev

Det har vært ei rolig helg.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Friday, 18 March 2011

2011.03.18 - Nyhetsbrev

Det er blitt publisert informasjon om hvordan Microsoft har gått frem i forbindelse med at de foreløpig har tatt ned Rustock botnettet. RSA melder på sine egne nettsider om at de har vært kompromittert, og at det i den forbindelse blant annet skal være hentet ut informasjon relatert til deres produkter.

RSA kompromittert

RSA melder i et åpent brev på sin egen nettside at de har vært kompromittert, og at det i den forbindelse skal ha vært hentet ut informasjon fra deres systemer. Blant annet opplyser de om at informasjon relatert til RSA's to-faktor autentiserings-systemer skal ha blitt hentet ut. Hva de har fått med seg, og eventuelt hvilke muligheter dette gir i forbindelse med et angrep er usikkert.
Referanser
http://www.rsa.com/node.aspx?id=3872
http://nakedsecurity.sophos.com/2011/03/18/security-firm-rsa-warns-that-its-servers-have-been-hacked/
http://www.sec.gov/Archives/edgar/data/790070/000119312511070159/dex992.htm
http://securosis.com/blog/rsa-breached-secureid-affected

Informasjon om koordinert Rustock "takedown" publisert

Microsoft har på flere av sine blogger lagt ut interessant informasjon om hvordan de gikk frem og aksjonerte i forbindelse med "takedown" av botnettet Rustock.

Onsdag la sikkerhetsanalytikere som overvåket botnettet merke til at C&C servere forsvant, samtidig som nesten all spam fra fra dette botnettet forsvant, men ingen visste da tilsynelatende hvem som sto bak dette. Det viser seg at dette er noe som blant annet Microsoft har jobbet med i flere måneder, der de har analysert og samlet inn informasjon om botnettet, og brukt dette til å gå til rettslige skritt for å få tatt ned serverne i botnettet i en koordinert aksjon. For øyeblikket ser det ut til at de har lykkes, og at "eierne" av botnettet ikke lenger har kontroll på de infiserte maskinene. Det er ikke usannsynlig at "eierne" igjen kan få kontroll på de infiserte maskinene ved hjelp av pseudorandom generering av domener eller lignende.

Dette er en del av Microsoft's Project MARS (Microsoft Active Response for Security), der målet er å stenge ned og forstyrre botnet.
Referanser
http://blogs.technet.com/b/mmpc/archive/2011/03/18/operation-b107-rustock-botnet-takedown.aspx
http://blogs.technet.com/b/microsoft_blog/archive/2011/03/17/taking-down-botnets-microsoft-and-the-rustock-botnet.aspx
http://krebsonsecurity.com/2011/03/rustock-botnet-flatlined-spam-volumes-plummet/

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 17 March 2011

2011.03.17 - Nyhetsbrev

Pandalabs melder om en økning av ny malware i Q1 på hele 26% i forhold til samme periode i fjor.

Citrix har publisert en oppdatert versjon av Secure Gateway som tetter et potensielt farlig sikkerhetshull.

Ny malware opp med 26% i Q1

PandaLabs melder at de i løpet av første kvartal 2011 detekterte i snitt hele 73000 nye versjoner av malware hver eneste dag. Dette er en økning på 25% i forhold til samme periode i fjor. En mulig forklaring på den store økningen kan være at det nå finnes programpakker på nettet som gjør det mulig for nesten hvem som helst å lage malware i løpet av minutter.
Referanser
http://press.pandasecurity.com/news/creation-of-new-malware-increases-by-26-percent-to-reach-more-than-73000-samples-every-day-pandalabs-reports/

Citrix Secure Gateway Unspecified Vulnerability

Citrix melder at det finnes en svakhet i Secure Gateway version 3.1.4 som kan utnyttes til å få kjørt vilkårlig kode på et sårbart system. Citrix har publisert en oppdatert versjon (3.1.5) som tar hånd om problemet.Versjon 2.0 er ikke sårbar, men de anbefaler likevel en oppdatering til versjon 2.1.
Anbefaling
Oppgradèr til Secure Gateway version 3.1.5
Referanser
http://support.citrix.com/article/CTX128168

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 16 March 2011

2011.03.16 - Nyhetsbrev

Twitter gir brukerne sine mulighet til å bruke HTTPS som standard via ny opsjon i settings menyen.

RIM anbefaler brukere av BlackBerry å skru av JavaScript på telefonen sin.

Twitter gir brukerne mulighet til å bruke HTTPS som standard

Twitter melder på sin offisielle blogg at de har lagt til en ny opsjon i settings menyen som gir brukerne mulighet til å alltid bruke HTTPS. Tidligere har man kunnet gjøre dette ved å gå til https://www.twitter.com, men nå har man altså mulighet til å bruke SSL tilkobling som standard. Ved å skru på dette gjør man det mye vanskeligere for en angriper å benytte seg av såkalt "session hijacking", noe som var diskutert mye i media for en stund tilbake i forbindelse med verktøyet firesheep.
Referanser
http://blog.twitter.com/2011/03/making-twitter-more-secure-https.html

RIM anbefaler brukere av BlackBerry telefoner å skru av JavaScript

Anbefalingen kommer som et direkte resultat av en svakhet avdekket under Pwn2Own. Her fikk angripere full kontroll over en fullt patchet BlackBerry Torch 9800. Et annet viktig poeng er at BlackBerry mangler viktige sikkerhetsmekanismer som blant annet ASLR (address space layout randomization) og DEP (data execution prevention). Disse sikkerhetsmekanismene kommer som standard på andre telefoner og gjør det mye vanskeligere for en angriper å få eksekvert kode. BlackBerry har riktignok en sandkassefunksjonalitet, men denne skal visstnok være veldig begrenset.
Referanser
http://www.theregister.co.uk/2011/03/16/blackberry_security_advisory/

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 15 March 2011

2011.03.15 - Nyhetsbrev

Adobe melder i dag om nok en 0-day svakhet i Flash/Acrobat Reader. Svakheten utnyttes allerede aktivt i målrettede angrep.

Microsoft har sluppet versjon 9 av Internet Explorer som blant annet inneholder oppdatert sikkerhetsfunksjonalitet.

Google har sluppet en ny versjon av Chrome som fikser en alvorlig svakhet.

Versjon 9 av Internet Explorer er sluppet

Microsoft har sluppet versjon 9 av Internet Explorer. Denne inneholder mange sikkerhetsfikser og også nye sikkerhetsfunksjoner som filtrering av ActiveX-tillegg, bedre filtrering av Cross Site Scripting (XSS)-angrep og et oppdatert filter mot malware (Smart Screen Filter).
Referanser
http://microsoft.com/ie

Ny 0-day-svakhet for Adobe Flash brukes aktivt i målrettede angrep.

Adobe informerer om at det har blitt oppdaget en svakhet i Flash Player. Vellykket utnyttelse av svakheten kan føre til at en angriper får kontroll over et sårbart system.

Det rapporteres om aktiv utnyttelse av svakheten i målrettede angrep, hvor et Excel-dokument med en integrert Flash-fil (.swf) sendes på mail til offeret. Adobe er i gang med å rette opp i feilen, og regner med å ha en patch klar i løpet av neste uke.

Adobe Acrobat Reader er også sårbar, men har ikke blitt brukt til angrep så langt. Adobe Reader X, som inneholder sandbox-funksjonalitet, beskytter mot dette angrepet, men vi anbefaler likevel alle om å være ekstra oppmerksomme på mailvedlegg frem til feilen har blitt rettet.

Det kan også lønne seg å benytte seg av tillegg til web-browsere som bare tillater Flash å kjøre på godkjente sider. Se: http://noscript.net/
Anbefaling
Installer oppdatering så fort den blir gjort tilgjengelig.
Vær forsiktig med å åpne excel-dokumenter fra personer du ikke stoler på.
Referanser
http://www.adobe.com/support/security/advisories/apsa11-01.html

Google Releases Chrome 10.0.648.133

Google har lansert en ny versjon av deres nettleser, Chrome. Versjonsnummeret er nå oppe i 10.0.648.133, og oppdateringen er hovedsakelig rettet mot en sårbarhet som kan tillate en angriper å eksekvere vilkårlig kode på et utsatt system.
Anbefaling
Oppdater ved anledning.
Referanser
http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates.html
Full HTML-versjon av dagens nyhetsbrev.

Monday, 14 March 2011

2011.03.14 - Nyhetsbrev

Det har blitt avdekket en 0-dags svakhet i MS Internet Explorer, som utnyttes aktivt.

Internet Explorer MHTML vulnerability under active exploitation

Google skriver i sin sikkerhetsblogg om en svakhet i Internet Explorers håndtering av MHTML. Svakheten blir utnyttet til politisk motiverte målrettede angrep. Microsoft har patchet svakheter i MHTML-håndteringen tidligere, men det virker ikke som om dette er 100% effektivt. Det er sluppet et FixIt-verktøy som skal fikse problemet inntil Microsoft kommer med en fullt fungerende fiks. Sårbarheten gjør det mulig å kjøre scripts i browseren til vedkommende som blir angrepet. Dette kan f.eks. brukes til å stjele session-cookies til andre web-sider som brukeren er logget inn på.
Referanser
http://googleonlinesecurity.blogspot.com/2011/03/mhtml-vulnerability-under-active.html
http://support.microsoft.com/kb/2501696

Full HTML-versjon av dagens nyhetsbrev.

Friday, 11 March 2011

2011.03.11 - Nyhetsbrev

Symantec har økt "Threatcon" (indikator for trusselnivå på internett) til nivå 2 på bakgrunn av sårbarhetene knyttet til tirsdagens sikkerhetsoppdateringer fra Microsoft. Mer info: http://www.symantec.com/security_response/threatcon/index.jsp

krebsonsecurity.com har en artikkel om hvordan trackertjenestene Zeus Tracker og SpyEye Tracker skaper problemer og frustrasjon hos bakmennene bak Zeus og SpyEye-trojanerne.

Kriminelle SpyEye- og ZeuS-brukere sikter seg inn på Tracker-tjenester

Kriminelle som livnærer seg av massive botnett, basert på SpyEye- og ZeuS-trojanerne, viser nå tydelige tegn på frustrasjon. Ansvarlige for denne frustrasjonen er de web-baserte trackertjenestene Zeus Tracker og SpyEye Tracker. Disse trackerene hjelper ISP-er og bedrifter med å forhindre at infiserte maskiner får kontakt med kommandosentralene som kjøres av de kriminelle. Dette er naturligvis ikke populært blant brukerne av SpyEye og ZeuS, som tidligere er kjent for å ha kjørt en mengde DDoS-angrep mot tracker-sidene for å prøve å stoppe dem.

Men nå later det til at DDoS-angrepene ikke lengre er nok, og de ukjente bakmennene pønsker nå ut nye metoder for å bli kvitt trackerene. På et russiskspråklig forum, hvor identitetstyver og kredittkortsvindlere frekventerer, fremmes det blant annet forslag om likvidering av Roman Hüssy, som er ansvarlig for de to trackerenes eksistens. Ved én anledning ble det skrevet et falskt selvmordsbrev i Hüssys navn, som igjen ble distribuert til hans familie og venner. Det hele endte med at det lokale politiet tok kontakt med en sovende Hüssy for å forsikre seg om at ingenting alvorlig hadde skjedd han. Til tross for alt dette, er trackerene fremdeles oppe og går, så det er tydelig at Hüssy er en tøff nøtt å knekke.

Hvis man skal dømme ut fra de kriminelles handlinger, er det ingen tvil om at SpyEye- og ZeuS-trackerene blir ansett som reelle trusler. I deres forsøk på å unnslippe trackerenes vrede, er det derfor heller ingen grunn til å tro at det ikke kommer til å komme flere angrep.
Referanser
http://krebsonsecurity.com/2011/03/spyeye-zeus-users-target-tracker-sites/

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 10 March 2011

2011.03.10 - Nyhetsbrev

Apple har sluppet oppdateringer til Safari, iOS og Java. Google har sluppet oppdateringer til Chrome som fikser 23 ulike svakheter. Internet Explorer og Apple Safari ble i går/natt tatt under Pown2Own konkurransen på CanSecWest, mens ingen ville forsøke seg på Google Chrome.

Apple har sluppet oppdateringer til Java, Safari og iOS

Apple har sluppet oppdateringer som fikser ulike svakheter i Safari, iOS og Java for Mac OS. I alle oppdateringene fikses det svakheter som potensielt skal kunne brukes til å få kjørt vilkårlig kode på et sårbart system.
Referanser
http://support.apple.com/kb/HT4566
http://support.apple.com/kb/HT4564
http://support.apple.com/kb/HT4562

Internet Explorer og Safari hacket i Pown2Own

Under CanSecWest konferansen ble Apple Safari og Internet Explorer tatt i den velkjente Pown2Own konkurransen. Målet i konkurransen er å kompromittere fullt oppdaterte maskiner med hittil ukjente svakheter. Vinneren får laptopen som ble kompromittert, samt 15 000 dollar. Google's nettleser Chrome ble ikke tatt i konkurransen, der Google i forkant lovet 20 000 dollar ekstra til førstemann.
Referanser
http://www.theregister.co.uk/2011/03/10/apple_safari_ie_stomped/

Google fikser ulike svakheter i 23 Chrome

Google har sluppet en oppdatering til Chrome som fikser 23 ulike svakheter i nettleseren. Oppdateringen ble sluppet dagen før Pwn2Own på CanSecWest, der Google i år er sponsor, og deres egen nettleser skal ut i ilden.
Anbefaling
Oppdater ved første anledning
Referanser
http://googlechromereleases.blogspot.com/2011/03/chrome-stable-release.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 9 March 2011

2011.03.09 - Nyhetsbrev

I natt kom det tre sikkerhetsoppdateringer fra Microsoft, der en av disse er rangert som kritisk. De tetter totalt fire sikkerhetshull der tre av disse har Proof of Concept kode tilgjengelig.

VMware har kommet med oppdateringer som retter en rekke svakheter i flere tredjepartsapplikasjoner.

Vulnerabilities in Windows Media Could Allow Remote Code Execution (2510030) (MS11-015)

Oppdateringen dekker to svakheter i Microsoft Windows Media. Sårbarhetene kan føre til eksekvering av vilkårlig kode dersom en bruker åpner en spesielt utformet media-fil, som håndteres av Windows Media Player.
Anbefaling
Installer patch snarest.
Referanser
http://www.microsoft.com/technet/security/Bulletin/MS11-015.mspx

Vulnerability in Microsoft Groove Could Allow Remote Code Execution (2494047) (MS11-016)

Denne oppdateringen retter en svakhet i hvordan Microsoft Groove laster inn eksterne biblioteksfiler. Sårbarheten kan utnyttes hvis en bruker åpner en Groove-relatert (.vcg, .gta) fil i samme nettverksmappe som en spesielt utformet biblioteksfil. Vellykket utnyttelse vil gi angriperen tilgang til systemet med samme rettigheter som den innloggede brukeren.
Anbefaling
Det anbefales å oppdatere.
Referanser
http://www.microsoft.com/technet/security/Bulletin/MS11-016.mspx

Vulnerability in Remote Desktop Client Could Allow Remote Code Execution (2508062) (MS11-017)

Oppdateringen dekker en svakhet i Windows Remote Desktop Client, relatert til utrygg lasting av DLL-filer. RDP-klienten laster ondsinnede DLL-filer som ligger i samme katalog som legitime remote desktop konfigurasjonsfiler. Dette kan utnyttes av en angriper i en situasjon der en bruker forsøker å laste en .rdp fil fra en ekstern nettverkslokasjon, som for eksempel en delt mappe. Ved å utnytte denne svakheten kan en ekstern angriper få tilgang til maskinen med samme rettigheter som den innloggede brukeren.
Anbefaling
Installer patch.
Referanser
http://www.microsoft.com/technet/security/Bulletin/MS11-017.mspx

VMware ESX and ESXi Multiple Security Bypass and Denial of Service

VMware har gitt ut en oppdateringer for å rette flere svakheter i følgende tredjepartsmoduler: Apache Tomcat, Oracle, samba, bzip2 og openssl. Utnyttelse av svakhetene kan i verste fall føre til lekasje av login-informasjon og tjenestenekt.
Anbefaling
Oppdater hvis mulig.
Referanser
http://lists.vmware.com/pipermail/security-announce/2011/000127.html
http://lists.vmware.com/pipermail/security-announce/2011/000128.html

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 8 March 2011

2011.03.08 - Nyhetsbrev

Google har patchet en svakhet i Android Market som muliggjorde fjerninstallasjon av programvare på Android-telefoner. Flere PCer i Frankrikes finansdepartement har blitt infisert av malware.

Svakhet tillot fjerninstallering av programvare på Android

En hacker har oppdaget en XSS (Cross Site Scripting)-svakhet som muliggjorde fjerninstallering av programvare på Android-telefoner. Svakheten kunne utnyttes ved å lure en bruker til å følge en link, men krever at brukeren samtidig var innlogget på web-versjonen av Android Market. XSS-svakheten i Android Market har siden blitt patchet av Google.
Referanser
http://www.theregister.co.uk/2011/03/07/android_pwn2own_bug_killed/

China suspected as France admits G20 hack

Angripere har tatt kontroll over flere datamaskiner i Frankrikes finansdepartement. Angrepet ble gjennomført ved hjelp av vedlegg i e-poster.
Referanser
http://www.v3.co.uk/v3/news/2275138/zeus-france-g20-hack-uk-finance

Full HTML-versjon av dagens nyhetsbrev.

Monday, 7 March 2011

2011.03.07 - Nyhetsbrev

Jon Larimer fra IBM ISS har publisert en god analyse av android malware omtalt i forrige uke.

DroidDream android malware analysis

Jon Larimer fra IBM ISS har publisert en interessant analyse av DroidDream/RootCager/myournet malware som har vært distribuert via Android Market.
Referanser
http://blogs.iss.net/archive/Examining%20the%20recent.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 4 March 2011

2011.03.04 - Nyhetsbrev

Microsoft har sluppet informasjon om neste ukes oppdateringer og Sør-Korea har vært under DDoS-angrep.

Microsoft Releases Advance Notification for March Security Bulletin

Microsoft har sluppet informasjon om neste ukes oppdateringer. Det skal være snakk om tre oppdateringer som fikser fire svakheter. To av oppdateringene er for Windows mens den siste er for Office. En av oppdateringene for Windows er rangert som kritisk mens de to andre er rangert Viktig.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-mar.mspx

Sør-Korea under DDoS

Omkring 29 websider underlagt regjeringen i Sør-Korea har i dag blitt utsatt for DDoS-angrep. Noen av dem som ble angrepet var utenriksdepartementet, "The presidential office", "National Intelligence Service", forsvarsdepartementet, "national assembly" og websider knyttet til det amerikanske militæret i Sør-Korea. Politiet arbeider med å forsøke å finne opphavet til angrepet.
Referanser
http://english.yonhapnews.co.kr/national/2011/03/04/36/0301000000AEN20110304007200315F.HTML

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 3 March 2011

2011.03.03 - Nyhetsbrev

Applikasjoner som inneholder trojaner/bakdør er blitt funnet på Android Market, samt Apple har sluppet versjon 10.2 av iTunes som fikser en rekke svakheter.

Googles Android Market har formidlet apps med trojaner/bakdør

Googles Android Market har formidlet over 50 forskjellige applikasjoner med trojaner/bakdør til Android mobiltelefoner. Applikasjonene er i utgangspunktet ufarlige, men har blitt lastet ned av kriminelle som har utstyrt dem med malware. Applikasjonene har så blitt publisert på Android Market igjen. Trojaneren gir bakmennene full kontroll over telefonen, inkludert nedlasting av ny programkode og opplasting av informasjon.
Referanser
http://www.droid-life.com/2011/03/02/droiddream-malware-enters-official-android-market-chaos-ensues-after-root-exploit-found-embedded/#more-27460

Apple lanserer iTunes 10.2

Apple har lansert iTunes 10.2 for å patche flere svakheter i iTunes og WebKit. De mest alvorlige svakhetene kan potensielt gjøre det mulig for en angriper å eksekvere kode på et sårbart system.
Anbefaling
Oppdater ved første anledning.
Referanser
http://support.apple.com/kb/HT4554
http://lists.apple.com/archives/security-announce/2011/Mar/msg00000.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 2 March 2011

2011.03.02 - Nyhetsbrev

Mozilla har sluppet oppdateringer til nettleseren Firefox og e-postklienten Thunderbird og Adobe har gitt ut en ny versjon av sin Flash player. De som bruker disse applikasjonene bør oppdatere hvis mulig.

Ellers har også analyseverktøyet Wireshark kommet ut i en ny versjon.

Mozilla lanserer Firefox 3.6.14/ 3.5.17 og Thunderbird 3.1.8

Mozilla har lansert Firefox 3.6.14. 3.5.17 og Thunderbird 3.1.8 for å patche flere sårbarher som, blant annet, kan tillate en angriper å eksekvere kode på et utsatt system.
Anbefaling
Oppdater ved første anledning.
Referanser
http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.8
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html
http://www.mozilla.org/security/known-vulnerabilities/firefox35.html

Adobe Flash player ute i ny versjon

Adobe har gitt ut en ny versjon av Flash Player. Denne skal fikse en rekke svakheter i den populære flash avspilleren. I værste fall kan noen disse svakhetene utnyttes av en ekstern angriper til å eksekvere kode på maskinen via et såkalt drive-by angrep. Flash Player har forskjellig versjonsnummer alt avhengig av plattform og nettleser. Se referansene under for en oversikt over hva som er nyeste versjon, samt detaljer rundt denne oppdateringen.
Anbefaling
Oppdater snarest
Referanser
http://www.adobe.com/software/flash/about/
http://www.adobe.com/support/security/#flashplayer

Wireshark ute i versjon 1.4.4

Wireshark har kommet ut i ny versjon. Denne fikser en rekke mindre bugs, der de mest alvorlige kan føre til at applikasjonen fryser seg.
Anbefaling
Oppdater så fort det lar seg gjøre.
Referanser
http://www.wireshark.org/docs/relnotes/wireshark-1.4.4.html

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 1 March 2011

2011.03.01 - Nyhetsbrev

En ny trojaner for fjernadministrasjon av Mac OS X er under utvikling, Google jobber med å få e-posten tilbake for 150.000 kunder og Bloomberg News melder om at Morgan Stanley ble angrepet i forbindelse med Aurora-angrepene.

Blackhole RAT - En trojaner rettet mot Mac OSX

Mac OS sitt brukerantall har økt jevnt de siste årene, og dette har nå resultert i uønsket oppmerksomhet fra malwareprogrammerere.

Det har tilsynelatende dukket opp en ny trojaner de siste dagene som er målrettet mot Mac OS X. Til tross for at denne fremdeles er på utviklingsstadiet, indikerer det allikevel at dette bare vil øke fremover som Apples brukerskare utvides.

Sikkerhetsselskapet Sophos har gjort en analyse av trojaneren 'BlackHole RAT', også kjent som OSX/MusMinim-A eller 'MusMinim'. Denne trojaneren tillater blant annet en ondsinnet bruker å:

* Plassere uønskede filer på skrivebordet til en infisert maskin.
* Kjøre shell-kommandoer på en infisert maskin, deriblant restart eller shutdown.
* Åpne en falsk "Administrator Password"-notifikasjon for å lure brukeren til å oppgi administratorpassordet sitt.

For videre informasjon om denne trojaneren, henviser vi til kilden hos Sophos.
Referanser
http://nakedsecurity.sophos.com/2011/02/26/mac-os-x-backdoor-trojan-now-in-beta/

Morgan Stanley Hacked in China-Based Attacks That Hit Google

Bloomberg News melder at Morgen Stanley har blitt frastjålet sensitiv informasjon av hackere som har plantet målrettet malware på nettet deres. Angrepene kan muligens være utført av de samme personene som angrep Google og andre firmaer, det såkalte \\\"Aurora\\\"-angrepet. Kilden til disse opplysningene er lekkede e-poster fra sikkerhetsfirmaet HBGary.
Referanser
http://www.bloomberg.com/news/2011-02-28/morgan-stanley-network-hacked-in-same-china-based-attacks-that-hit-google.html

Gmail back soon for everyone?

Rundt 150.000 brukere av Gmail mistet all e-posten sin på søndag. En programvarefeil gjorde at alle online-kopier av dataene ble slettet samtidig. Google har nå kommet med en oppdatering rundt saken på sin blogg. De jobber fortsatt med å få tilbake dataene fra tape-backups.

Mange firmaer bruker Gmail (Google Apps) som sin e-post-leverandør. Denne saken viser at det er viktig å vurdere sikkerheten og tilgjengeligheten i eksterne tjenester en benytter seg av.
Referanser
http://gmailblog.blogspot.com/2011/02/gmail-back-soon-for-everyone.html

Full HTML-versjon av dagens nyhetsbrev.