Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 31 August 2011

2011.08.31 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 30 August 2011

2011.08.30 - Nyhetsbrev

Kaspersky Labs har publisert en rapport om distribuerte tjenstenektangrep.

Iranske myndigheter har brukt et falsk Google sertifikat til å overvåke kryptert Google trafikk.

Kaspersky Lab har publisert en rapport om DDOS

Kaspersky lab har publisert en rapport om distribuerte tjenestenektangrep. Datagrunnlaget er basert på DDoS-angrep utført vha. av såkalte botnet. I rapporten fremkommer det at netthandel er utsatt for hele 25% av alle angrep, online spill 20%, børs (aksjer) 13%, bank 11%, blogger og forum 8% og media 7%. Nettsteder relatert til regjeringer og land utgjør kun 1%.
Referanser
http://www.securelist.com/en/analysis/204792189/DDoS_attacks_in_Q2_2011

Falsk Google sertifikat har blitt brukt til overvåking i Iran

En sertifikat utsteder (Diginotar) i Nederland har utstedt et falsk Google-sertifikat. Iranske myndigheter har så brukt dette sertifikatet til å overvåke kryptert trafikk til og fra Google de siste to månedene. Med et slikt sertifikat har myndighetene kunnet lese all kryptert trafikk, inkludert epost ved å opptre som "man in the midle". Angrepet har ikke fungert mot brukere av Google Chrome nettleser pga. av Google selv vet hvilke sertifikater de har kjøpt. Firefox publiserer snarlig en oppdatering hvor de fjerner Diginotar fra listen over sertifikatutstedere man kan stole på. Microsoft har gjort det samme for Internet Explorer på plattformene Windows Vista, Windows 7, Windows Server 2008 og Windows Server 2008 R2. Microsoft vil også komme med en oppdatering for XP og Server 2003, men på et noe senere tidspunkt. Denne saken viser igjen at det kanskje finnes for mange utstedere av SSL-sertifikater og at det er vanskelig å vite hvilke av dem en kan stole på.
Anbefaling
Bruk Chrome eller oppdater Firefox og Internet Explorer.
Referanser
https://www.eff.org/deeplinks/2011/08/iranian-man-middle-attack-against-google
http://blog.mozilla.com/security/2011/08/29/fraudulent-google-com-certificate/
http://pastebin.com/ff7Yg663
http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html
http://blogs.technet.com/b/msrc/archive/2011/08/29/microsoft-releases-security-advisory-2607712.aspx

Full HTML-versjon av dagens nyhetsbrev.

Monday, 29 August 2011

2011.08.29 - Nyhetsbrev

Ny orm, kjent som Morto, sprer seg via RDP. Ny svakhet i Mac OS X Lion.

Orm sprer seg via RDP

En ny orm, kjent som "Morto", tillater uautoriserte brukere tilgang til en infisert maskin. Den sprer seg via RDP, en protokoll for fjerninnlogging på Windows-maskiner. Dette er en ny infeksjonsvektor. Ormen prøver å logge seg inn som administrator-brukeren ved å prøve flere forskjellige passord fra en innebygget liste.
Referanser
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FMorto.A

Mac OS X Lion aksepterer alt som riktig passord om man bruker LDAP

Det har blitt oppdaget et alvorlig sikkerhetshull i Apples Mac OS X Lion operativsystem. Hullet kan utnyttes dersom man bruker LDAP. Det viser seg at etter første innlogging via LDAP, så vil Lion oppfatte alle senere passord som gyldige. Dette gjør at man kan få tilgang til ressurser man ikke skulle hatt tilgang til ved å bare oppgi et tilfeldig passord.
Anbefaling
Vente med å oppgradere til Lion til en oppdatering er ute om man bruker LDAP
Referanser
http://packetstormsecurity.org/news/view/19762/Mac-Lion-Blindly-Accepts-Any-LDAP-Password.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 26 August 2011

2011.08.26 - Nyhetsbrev

Det har vært en stor økning i antall malware som infiserer harddiskens oppstartssektor.

Symantec rapporterer om stor økning i antall boot malware (MBR)

Symantec rapporterer i sin August rapport, at antall nye "boot time" malware, som er oppdaget til nå i år, er større en de siste tre årene til sammen. "Boot time" infiserer hardiskens opstartssektor (MBR) og kan dermed lastes før opperativsystemet. Dette kan utnyttes til å kontrollere at malware er installert i operativsystemet, og eventuelt reinstallere det. Dermed er det mer komplisert å rydde opp i infeksjoner. I mange tilfeller vil selv en full reinstallasjon av maskinen ikke løse problemet. Man vil da måtte overskrive MBR manuelt, og så reinstallere.
Anbefaling
Referanser
http://www.symantec.com/about/news/release/article.jsp?prid=20110823_01

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 25 August 2011

2011.08.25 - Nyhetsbrev

Apache webserver er sårbar for tjenestenektangrep fra en enkelt PC. Angrepsverktøy er allerede publisert på Internett.

Det er oppdaget flere alvorlige svakheter i Cisco Unified Communications Manager, Unified Presence Server og Intercompany Media Engine.

PHP og Java er ute i nye versjoner.

PHP 5.3.8 er ute

Ny versjon av PHP (5.3.8) har blitt publisert. Denne versjonen retter feilen i crypt()-funksjonen som ble rapportert tidligere denne uken.
Referanser
http://www.php.net/archive/2011.php#id2011-08-23-1

Ny versjon av Java er ute (Java™ SE 6 Update 27)

Java er ute i ny versjon Java™ SE 6 Update 27. Den nye versjonen inneholder ingen sikkerhetsoppdateringer ut over dem som ble fikset i versjon Java SE 6u26.
Referanser
http://www.oracle.com/technetwork/java/javase/6u27-relnotes-444147.html

Cisco Security Advisory: Open Query Interface in Cisco Unified Communications Manager and Cisco Unified Presence Server

En svakhet i Cisco Unified Communications Manager og Cisco Unified Presence Server kan gi en uautorisert angriper lesetilgang til hele den underliggende databasen. Databasen inneholder blant annet brukerinformasjon, innstillinger og andre sensitive opplysninger.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b8f532.shtml

Apache webserver sårbar for tjenestenektangrep fra enkelt PC

Apache publiserte i går en advarsel om at en enkelt PC kan ta ned en Apache webserver (versjon 1.3 og 2) i et tjenestenektangrep. Svakheten ble publisert for 5 år siden, men har ikke blitt fikset. Apache har varslet at de vil publisere en oppdatering innen lørdag. Apache har beskrevet hvordan problemet kan unngås inntil oppdateringen er på plass. Det finnes allerede kode og verktøy fritt tilgjengelig (kill apache) som utnytter svakheten.
Anbefaling
Følg anbefalingene i fra Apache om hvordan man kan omgå problemene.
Referanser
http://marc.info/?l=apache-httpd-dev&m=131418828705324&w=2
http://www.theregister.co.uk/2011/08/24/devastating_apache_vuln/

Cisco Security Advisory: Cisco Unified Communications Manager Denial of Service Vulnerabilities

Fem svakheter i Cisco Unified Communications Manager har blitt oppdaget. Disse svakhetene kan utnyttes av en angriper for å hindre tilgang til tjenesten.
Anbefaling
Installer oppdateringer fra produsent.
Referanser
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b8f531.shtml

Cisco Security Advisory: Denial of Service Vulnerabilities in Cisco Intercompany Media Engine

To svakheter i Cisco Intercompany Media Engine har blitt oppdaget. Disse svakhetene kan utnyttes av en angriper for å hindre tilgang til tjenesten.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b8f533.shtml

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 24 August 2011

2011.08.24 - Nyhetsbrev

Ny versjon av Google Chrome skal fikse flere svakheter.

Google Chrome svakheter

Google har gitt ut versjon 13.0.782.215 til Linux,Mac,Windows og Chrome frame. Oppdateringen skal rette en rekke ukjente svakheter.
Anbefaling
Oppgrader til nyeste stabile versjon av Google Chrome.
Referanser
http://www.us-cert.gov/current/index.html#google_releases_chrome_13_01
http://googlechromereleases.blogspot.com/2011/08/stable-channel-update_22.html

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 23 August 2011

2011.08.23 - Nyhetsbrev

Kinesisk propagandavideo avslører cyber-angrep mot mål i USA.

PHP advarer mot å oppgradere til versjon 5.3.7 som ble sluppet i forrige uke.

Kina sender video som viser militært hacker-programvare i bruk.

Kinesiske myndigheter har lenge hevdet at de ikke deltar i cyber-angrep. En kinesisk propagandavideo, som var ment for å vise frem det kinesiske militæret, inneholder imidlertid klipp som viser programvare for cyber-angrep tatt i bruk mot amerikanske mål.
Referanser
http://www.theepochtimes.com/n2/china-news/slip-up-in-chinese-military-tv-show-reveals-more-than-intended-60619.html

PHP "crypt()" MD5 Salt Security Issue

Utviklerene av PHP advarer nå brukere mot å oppgradere til versjon 5.3.7 som ble sluppet forrige uke. Det viser seg at den siste versjonen har en alvorlig svakhet relatert til kryptering. Svakheten kan føre til at akkrediterings-mekanismer som benytter seg av "crypt()"-funksjonen ikke fungerer korrekt. PHP melder at de vil puliserer en ny versjon i løpet av noen dager.
Anbefaling
Vent med å oppgradere PHP til versjon 5.3.8 er sluppet ut, noe som er ventet å skje innen noen dager.
Referanser
http://www.php.net/archive/2011.php#id2011-08-22-1
https://bugs.php.net/bug.php?id=55439

Full HTML-versjon av dagens nyhetsbrev.

Monday, 22 August 2011

2011.08.22 - Nyhetsbrev

PHP er ute i ny versjon.

PHP 5.3.7 er ute

Utviklerne av PHP har publisert en oppgradering 5.3.7 som tetter flere alvorlige sikkerhetshull, samt fikser diverse ikke sikkerhetsrelaterte problemer. Vi kan legge til at PHP 5.2 ikke lenger vedlikeholdes.
Referanser
http://www.php.net/archive/2011.php#id2011-08-18-1

Full HTML-versjon av dagens nyhetsbrev.

Friday, 19 August 2011

2011.08.19 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 18 August 2011

2011.08.18 - Nyhetsbrev

Rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 17 August 2011

2011.08.17 - Nyhetsbrev

Mozilla Firefox og Thunderbird er ute i nye versjoner.

Testorganisasjonen "NSS Labs" har testet de ulike nettlesernes evne til å oppdage og blokkere linker som forsøker å lure brukerne til å installere malware.

Internet Explorer 9 Best At Catching Socially Engineered Malware

Testorganisasjonen "NSS Labs" har testet hvor gode de mest kjente nettleserne er til å gjenkjenne og blokkere linker som serverer malware ved å lure brukerne (social engineering). Iflg. rapporten er IE9 overlegen vinner med en deteksjonsrate på 99.2 prosent, der 96 prosent detekteres via funksjonaliteten "SmartScreen URL reputation", og 3.2 prosent via "Application Reputation". På de neste plassene fulgte Google Chrome 12 med 13,2 prosent, Apple Safari 5 og Mozilla Firefox 4, begge med 7,6 prosent, og tilslutt Opera 11 med 6,1 prosent.
Referanser
http://www.darkreading.com/security/vulnerabilities/231500087/internet-explorer-9-best-at-catching-socially-engineered-malware.html
https://www.nsslabs.com/assets/noreg-reports/2011/nss%20labs_q3_2011_browsersem%20GLOBAL-FINAL.pdf

Mozilla Firefox 6.0 og Mozilla Thunderbird 6.0 er ute

Firefox 6.0 og Thunderbird 6.0 er sluppet av Mozilla. Alle brukere av eldre Firefox og Thunderbird versjoner bør oppgradere så fort som mulig, da den nye versjonen har rettet en rekke svakheter som finnes i tidligere versjoner. For detaljer, se "Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2011-29 through -30 Multiple Vulnerabilities"
Referanser
http://www.mozilla.org/security/announce/2011/mfsa2011-29.html
http://www.mozilla.com/en-US/firefox/6.0/releasenotes/
http://www.mozilla.org/en-US/thunderbird/6.0/releasenotes/

Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2011-29 through -30 Multiple Vulnerabilities

Det har blitt oppdaget flere svakheter i flere Mozilla-produkter som kan gi en angriper mulighet til å utføre ekstern kodeeksekvering.
Anbefaling
Oppgrader til nyeste versjon av Mozilla Firefox, Mozilla Thunderbird og Mozilla SeaMonkey.
Referanser
http://www.securityfocus.com/bid/49166
http://www.mozilla.org/security/announce/2011/mfsa2011-29.html
http://www.mozilla.org/security/announce/2011/mfsa2011-30.html

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 16 August 2011

2011.08.16 - Nyhetsbrev

Symantec har publisert en sikkerhetsoppdatering for 12 Veritas produkter.

CNET har satt sammen en oversikt over alle høyprofilerte hackerangrep siden mars i år.

Oversikt over høyprofilerte dataangrep det siste halve året

CNET har publisert en oversikt over høyprofilerte dataangrep som har funnet sted siden mars i år.
Referanser
https://spreadsheets.google.com/spreadsheet/ccc?key=0Apf9SIxJ8Cm_dGxuNUJjbmM5LU40bVdWaFBVcTZPN3c&hl=en_US&single=true&gid=0&range=A2%3AJ95&output=html

Symantec Veritas Enterprise Administrator Service Multiple Buffer Overflow Vulnerabilities

Symantec har publisert en oppdatering som tetter et sikkerhetshull i Veritas Enterprise Administrator service (vxsvc). Sikkerhetshullet kan kun utnyttes om man har tilgang til påloggingsvinduet til Administrator Service. Vellykket utnyttelse vil gi angriper full kontroll over systemet. Tjenesten er inkludert i en hel rekke med Symantec/Veritas produkter. Se link til Symantec for full oversikt over sårbare produkter.
Anbefaling
Begrens tilgang til admin interface til adminisitratorer.
Referanser
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110815_00

Full HTML-versjon av dagens nyhetsbrev.

Monday, 15 August 2011

2011.08.15 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Friday, 12 August 2011

2011.08.12 - Nyhetsbrev

Kritisk svakhet i BlackBerry Enterprise Server.

Kritisk svakhet oppdaget i BlackBerry Enterprise Server

BlackBerry har oppdaget en svakhet i måten BlackBerry Enterprise Server dekoder bilder på. Dette kan føre til at tjeneren kan bli kompromittert ved å sende en spesielt utformet e-post til en BlackBerry-bruker på serveren. Brukeren trenger ikke å åpne e-posten for at tjeneren skal bli kompromittert. Svakheten kan også utnyttes ved at en BlackBerry-bruker ser på et bilde med web-browseren på telefonen sin. Det anbefales å installere patch så fort som mulig.
Anbefaling
Installer patch.
Referanser
http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB27244

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 11 August 2011

2011.08.11 - Nyhetsbrev

Nettavisen e24.no ble hacket i dag morges.

Nettavisen e24.no har blitt hacket

e24.no ble i dag morges hacket. Hackeren la ut et bilde og en musikkvideo på forsiden. e24.no antar at angriperen har tatt over serveren vha. publiseringsverktøyet de anvender. e24.no oppdaget angrepet 09:17 og hadde ryddet opp i problemene 09:54.
Referanser
http://e24.no/media/e24-hacket/20087731

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 10 August 2011

2011.08.10 - Nyhetsbrev

I tillegg til at Microsoft slipper oppdateringer for 22 svakheter har også Adobe sluppet oppdateringer til fire av sine programmer. Adobe Shockwave Player, Adobe Flash Media Server, Adobe Flash Player og Adobe Photoshop CS5

Av Microsoft sine 13 oppdatering er 2 kritiske og 11 alvorlige. Flere av disse kan utnyttes til ekstern kode-eksekvering og ekstern tjenestenekt. Det er også svakheter som tillater cross-site scripting og heving av lokalt tilgangsnivå. Det er også et vidt spekter av programmer og systemer som er sårbare. Vi nevner Visio, Remote Desktop, DNS server, Report Viewer og .NET rammeverket.

Adobe slipper oppdateringer til Flash Player, Shockwave Player osv.

Adobe har funnet kritiske sårbarheter i flere av sine produkter. Det anbefales at det installeres patcher så fort som mulig. Produktene dette gjelder er: Adobe Shockwave Player, Adobe Flash Media Server, Adobe Flash Player og Adobe Photoshop CS5.
Anbefaling
Oppdater produktene så fort som mulig.
Referanser
http://blogs.adobe.com/psirt/2011/08/adobe-product-security-updates-available-2.html

Cumulative Security Update for Internet Explorer (2559049) (MS11-057)

Oppdateringen dekker 7 svakheter i Internet Explorer. Den mest alvorlige svakheten kan føre til ekstern kodeeksekvering hvis en bruker åpner en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater Microsoft Windows.
Referanser
http://www.microsoft.com/technet/security/bulletin/MS11-057.mspx

Vulnerabilities in DNS Server Could Allow Remote Code Execution (2562485) (MS11-058)

Oppdateringen dekker to svakheter i Windows DNS server. Den mest alvorlige svakheten kan føre til ekstern kodeeksekvering dersom en angriper registrer et domene, lager et NAPTR-post, og deretter sender en spesialdesignet NAPTR-forespørsel til en DNS-server. Svakheten kan ikke utnyttes på servere som ikke har en DNS-rolle.
Anbefaling
Oppdater Microsoft Windows.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-058.mspx

Vulnerability in Microsoft Report Viewer Could Allow Information Disclosure (2578230) (MS11-067)

Oppdateringen dekker en svakhet i Microsoft Report Viewer som kan føre til avdekking av informasjon hvis en bruker besøker en ondsinnet webside. En normal angrepsvektor vil være e-mail eller annen melding med en link til websiden.
Anbefaling
Oppdater Microsoft Report Viewer.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-067.mspx

Vulnerability in Microsoft Chart Control Could Allow Information Disclosure (2567943) (MS11-066)

Oppdateringen dekker en svakhet i ASP.NET Chart Controls som kan føre til avdekking av informasjon hvis en angriper sender en spesialdesignet "GET"-forespørsel til en server med ASP.NET Chart Controls.
Anbefaling
Oppdater Microsoft .Net Framework
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-066.mspx

Vulnerability in Remote Desktop Protocol Could Allow Denial of Service (2570222) (MS11-065)

Oppdateringen dekker en svakhet i "Remote Desktop"-protokollen som kan føre til en tjenestenekt-tilstand dersom et system mottar en sekvens av spesialdesignede RDP-pakker. Ekstern RDP er ikke "enablet by default" på noen windows systemer.
Anbefaling
Oppdater Microsoft Windows.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-065.mspx

Vulnerabilities in TCP/IP Stack Could Allow Denial of Service (2563894) (MS11-064)

Oppdateringen dekker to svakheter i Microsoft Windows. Svakhetene kan føre til en tjenestenekt-tilstand dersom en angriper sender en sekvens av spesialdesignede ICMP-meldinger til et system eller sender en spesialdesignet URL-forespørsel til en server som bruker "Quality of Service"-funksjonen.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-064.mspx

Vulnerability in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (2567680) (MS11-063)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til lokal rettighetseskalering dersom en angriper logger på lokalt og kjører en spesialdesignet applikasjon.
Anbefaling
Oppdater Microsoft Windows.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-063.mspx

Vulnerability in Remote Access Service NDISTAPI Driver Could Allow Elevation of Privilege (2566454) (MS11-062)

Oppdateringen dekker en svakhet i Windows XP og Windows Server 2003 som kan føre til lokal rettighetseskalering dersom en angriper logger på lokalt og kjører en spesialdesignet applikasjon.
Anbefaling
Oppdater Microsoft Windows.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-062.mspx

Vulnerability in Remote Desktop Web Access Could Allow Elevation of Privilege (2546250) (MS11-061)

Oppdateringen dekker en "cross-site scripting"-svakhet i Remote Desktop Web Access som kan føre til lokal rettighetseskalering. Dette kan deretter utnyttes til å få kjørt vilkårlig kode. En typisk angrepsvektor er via besøk til en ondsinnet webside.
Anbefaling
Oppdater Microsoft Windows.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-061.mspx

Vulnerabilities in Microsoft Visio Could Allow Remote Code Execution (2560978) (MS11-060)

Oppdateringen dekker to svakhet i Microsoft Visio som kan føre til ekstern kodeeksekvering dersom en bruker kjører en spesialdesignet Visio-fil. Ved et vellykket angrep, vil angriper få samme brukerrettigheter som den påloggede brukeren.
Anbefaling
Oppdater Microsoft Visio
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-060.mspx

Vulnerability in Data Access Components Could Allow Remote Code Execution (2560656) (MS11-059)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering hvis en bruker åpner en Excel-fil lokalisert på samme nettverksområde som en spesialdesignet bibliotek-fil. Ved et vellykket angrep vil angriperen få samme brukerrettigheter som den påloggede brukeren.
Anbefaling
Oppdater Microsoft Windows.
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-059.mspx

Vulnerability in Windows Kernel Could Allow Denial of Service (2556532) (MS11-068)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til en tjenestenekt-tilstand hvis en bruker besøker et nettverksområde som inneholder en spesialdesignet fil.En normal angrepsvektor vil være e-mail eller annen melding med en link til nettverksområde.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-068.mspx

Vulnerability in .NET Framework Could Allow Information Disclosure (2567951) (MS11-069)

Oppdateringen dekker en svakhet i Microsoft .NET Framework som kan føre til avdekking av informasjon hvis en bruker besøker en spesialdesignet webside og bruker en nettleser som kan bruke "XAML"-nettleser applikasjoner. Svakheten kan i tillegg brukes til å omgå "Code Acess Security"-restriksjoner. En normal angrepsvektor vil være e-mail eller annen melding med en link til websiden.
Anbefaling
Oppdater Microsoft .NET Framework
Referanser
http://www.microsoft.com/technet/security/bulletin/ms11-069.mspx

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 9 August 2011

2011.08.09 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 8 August 2011

2011.08.08 - Nyhetsbrev

Det har blitt oppdaget en MAC trojaner. En ny Android app for sikkerhetstesting kommer om noen dager.

Mac trojaner utgir seg for å være Adobe Flash Player

En trojaner for MAC kommer i form av en falsk installasjon av Adobe Flash Player. Etter installasjon blir brukeren henvist til en falsk versjon av Googles søkemotor. Fsecure antar at hensikten med trojaneren er å vise uønsket reklame til brukeren. Annet misbruk kan ikke utelukkes.
Referanser
http://www.f-secure.com/weblog/archives/00002206.html

Ny Android app gjør det enkelt å hacke

Forbes har en artikkel vedrørende en ny Android app for sikkerhetstesting som ble demonstrert på Defcon i forrige uke. Appen som er gratis til privat bruk gjør det svært enkelt å angripe, avlytte eller opptre som "man in the middle". Alt gjøres via telefonen og grensesnittet gjør dette tilgjengelig for dem selv uten noen "hacking" kompetanse. Appen slippes om noen dager på Android market.
Referanser
http://blogs.forbes.com/andygreenberg/2011/08/05/android-app-turns-smartphones-into-mobile-hacking-machines/

Full HTML-versjon av dagens nyhetsbrev.

Friday, 5 August 2011

2011.08.05 - Nyhetsbrev

Symantec spinner i dag videre på en rapport fra Mcafee som omhandler de avanserte angrepene omtalt som Operation Shady Rat. Microsoft varsler om 22 sårbarheter som rettes i 13 oppdateringer neste uke. Dagens svakhet er oppdaget i Windows av Matthew Jurczyk og kan for en lokal angriper gi tilgang til sensitiv informasjon eller forårsake tjenestenekt.

Detaljer om Shady RAT

Symantec har publisert en interessant artikkel basert på Mcafee's rapport fra i går om Operation Shady Rat. Symantec beskriver i detalj hvordan disse avanserte angrepene fungerer. Kommandoer fra kontrollserverne gjemmes i tilsynelatende uskyldige bilder. Serverne som angriperne har benyttet var ikke sikret tilstrekkelig slik at det lykkes aktører i sikkerhetsmiljøet å hente ut statistikk over infiserte klienter og potensielt også eventuelle data fra infiserte klienter.
Referanser
http://www.symantec.com/connect/blogs/truth-behind-shady-rat

Microsoft Releases Advance Notification for August Security Bulletin

Microsoft har gitt ut informasjon om neste ukes oppdateringer. Det skal denne gangen være snakk om 13 oppdateringer. Oppdateringene rangeres som "kritiske", "viktige" og "moderate", og slippes for Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Microsoft Visio, Windows XP, Chart Control, Microsoft Visual Studio og Microsoft Report Viewer.
Referanser
http://www.us-cert.gov/current/index.html#microsoft_releases_advance_notification_for50

Microsoft Windows CSRSS "SrvGetConsoleTitle()" Type Casting Weakness

Matthew Jurczyk har oppdaget en svakhet i Microsoft Windows som en lokal angriper kan utnytte for å få adgang til sensitiv informasjon eller forårsake et lokal tjenestenekt.

Årsaken til svakheten er en feil i "SrvGetConsoleTitle()"-funksjonen i "Client/Server Run-time"-subsystemet (CSRSS) når det blir utført en spesifikk størrelseforespørsel. Dette kan brukes til å lese litt CSRSS-minne eller derefter ugyldig minne, noe som vil føre til et kræsj i kjernen.
Anbefaling
Begrens adgang til pålitelige brukere.
Referanser
http://j00ru.vexillium.org/?p=971

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 4 August 2011

2011.08.04 - Nyhetsbrev

Det har blitt oppdaget en rekke alvorlige svakheter i Google Chrome og Quicktime for Windows & OS X.

Sikkerhetsoppdatering til Quicktime

Det er oppdaget 14 svakheter i Quicktime for Windows og OS X. Svakhetene er relatert til håndtering av en rekke ulike media-formater, og kan i verste fall gi mulighet for eksekvering av vilkårlig kode fra eksternt hold. Oppdatering anbefales.
Anbefaling
Oppdater til Quicktime 7.7
Referanser
http://support.apple.com/kb/HT4826

Multiple Google Chrome Vulnerabilities

Det har blitt oppdaget hele 29 svakheter med varierende alvorlighetsgrad i Google Chrome. Det anbefales derfor å oppgradere til siste versjon.
Anbefaling
Oppdatert til versjon 13.0.782.107
Referanser
http://googlechromereleases.blogspot.com/2011/08/stable-channel-update.html
http://secunia.com/advisories/45498/

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 3 August 2011

2011.08.03 - Nyhetsbrev

Organisert spionasje mot 72 bedrifter og land avslørt av McAfee.
Nedgang i spredning av falsk antivirus de siste ukene skyldes politiaksjoner.

McAfee har avslørt massiv internasjonal spionasje mot bedrifter og offentlige institusjoner

McAfee har avslørt organisert spionasje mot 72 organisasjoner, inkludert India, Sør Korea og USA, samt bedrifter innen forsvar og teknologi. Spionasjen har foregått over en fem års periode. Angriperne har skaffet seg innpass i bedriftenes nettverk vha. såkalt "spear-phising", dvs. at de har sendt eposter med angrepskode til utvalgte personer. Angrepskoden har så tatt over brukernes maskiner ved å utnytte upatchede sårbarheter på brukernes maskiner. Les hele rapporten på bloggen til McAfee.
Referanser
http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat
http://www.reuters.com/article/2011/08/03/us-cyberattacks-qa-idUSTRE7720IS20110803

Nedgang i spredning av falsk antivirus

Spredning av falsk antivirus har nesten stoppet opp de siste ukene. Bakgrunnen er i følge Brian Krebs at politi på tvers av landegrensene endelig har begynt å ta denne type svindel alvorlig og arrestasjoner har blitt foretatt i blant annet USA og Russland. Forskere ved University of California, San Diego har funnet ut at 1 av 50 med falsk antivirus installert på datamaskinen betaler for det som i realiteten er en trojaner. Omfanget av svindel med falsk antivirus er stort. I juni 2011 ble det arrestert kriminelle i syv land som hadde lurt hele $72 millioner fra sine ofre.
Referanser
http://krebsonsecurity.com/2011/08/fake-antivirus-industry-down-but-not-out/

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 2 August 2011

2011.08.02 - Nyhetsbrev

Ny versjon av Metasploit er lansert. Google har lansert to-faktor autentisering i Norge.

Metasploit 4.0 er publisert

Metasploit 4.0 kan nå lastes ned. Den nye versjonen har mange nye moduler samt oppdaterte utgaver av gamle moduler.
Referanser
https://community.rapid7.com/community/metasploit/blog/2011/08/01/metasploit-40-released

To-faktor autentisering for innlogging hos Google er nå tilgjengelig i Norge

To-faktor autentisering for innlogging hos Google har vært tilgjengelig siden februar i USA og er nå også tilgjengelig i Norge. I tillegg til det vanlige brukernavnet og passordet, må en også bruke et engangspassord for å logge seg inn. Dette passordet kan leveres via en vanlig telefonsamtale, SMS eller via en applikasjon til Android, iPhone eller BlackBerry.

Ikke alle Google-tjenester støtter tjenesten enda. For disse må det genereres et eget applikasjons-spesifikt passord.

Etter å ha skrevet inn engangspassord på én enhet (PC, mobil osv.) er det en mulighet for ikke å skrive inn nytt passord på samme enhet de neste 30 dagene.

TSOC har testet tjenesten og de forskjellige måtene å få levert engangspassord på og alt ser ut til å fungere bra.
Referanser
http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html

Full HTML-versjon av dagens nyhetsbrev.

Monday, 1 August 2011

2011.08.01 - Nyhetsbrev

Cisco TelePresence Recording Server 1.7.2.0 kan misbrukes fra eksternt hold vha. administratorkonto med standard passord.

Cisco Security Advisory: Cisco TelePresence Recording Server Default Credentials for Root Account Vulnerability

Cisco TelePresence Recording Server 1.7.2.0 har ved standard-installasjon en aktivert administratorbruker med standardpassord. Denne kontoen kan misbrukes fra eksternt hold via SSH. Cisco har publisert oppdatering, samt en beskrivelse av hvordan problemet kan omgås uten å oppgradere til siste versjon.
Anbefaling
Implementer mottiltak i referanse nr.2.
Referanser
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b8ad3f.shtml
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b8ad40.html

Full HTML-versjon av dagens nyhetsbrev.