Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 8 March 2012

2012.03.08 - Nyhetsbrev

Googles Chrome-browser sliter etter første dag av konkurransen Pwn2Own. Svakhet i RSA SecurID Software Token Converter .

Første dag av konkurransen Pwn2Own er over

Første dag av Pwn2Own-konkurransen ved sikkerhetskonfersen CanSecWest er over. I konkurransen skal deltagerne prøve å utvikle exploits for svakheter i web-browsere.

I løpet av den første dagen klarte det Franske firmaet Vupen å utnytte en nyoppdaget sårbarhet i Chrome. De klarte også å unngå beskyttelsesmekanismer som DEP, ASLR og Chromes innebygde "sadbox". I tidligere års konkurranser har ingen tidligere klart å knekke sikkerheten i Chrome.

I konkurransen ble også deltagerne bedt om å skrive exploits fra bunnen av for å utnytte eldre kjente svakheter. Vupen klarte i denne delen av konkurransen å skrive nye exploits for sårbarheter i både Firefox, Internet Explorer og Safari. Det tok fra 20 minutter til to timer å utvikle de nye exploitene.

Google har også en egen konkurransen gående med pengepremier for exploits mot Chrome. I går måtte de betale ut $60.000 til en vinner som utnyttet en annen svakhet i Chrome. Begge svakhetene i Chrome er fortsatt upatchet.

Disse konkurransene viser at dyktige utviklere forholdsvis lett kan finne og utnytte svakheter i de mest brukte browserne, motivert av relativt små pengepremier og berømmelse.
Referanser
http://arstechnica.com/business/news/2012/03/google-chromes-winning-streak-fades-at-annual-hacking-contest.ars
https://pwnium.appspot.com/

RSA SecurID Software Token Converter Unspecified Buffer Overflow Vulnerability

Det har blitt oppdaget en svakhet i RSA SecurID Software Token Converter som potensielt sett kan utnyttes til å få kjørt vilkårlig kode på et sårbart system. Oppdatering til versjon 2.6.1 anbefales.
Anbefaling
Update to version 2.6.1.
Referanser
http://www.secunia.com/advisories/48297
http://archives.neohapsis.com/archives/bugtraq/2012-03/0017.html

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.