Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 10 May 2013

2013.05.10 - Nyhetsbrev

Microsoft kommer til å slippe 10 oppdateringer neste uke, men har alt nå kommet med en FixIt for IE8 0-day-svakheten. Adobe ColdFusion og Cisco Unifed CVP har også svakheter som bør taes hånd om. Videre har Wired en artikkel om et stort digitalt bankran, og Name.com har blitt frastjålet en (kryptert) brukerdatabase.

Microsoft publiserer forhåndsvarsel av oppdateringer for mai

Microsoft melder at de kommer til å slippe 10 oppdateringer tirsdag 12. mars. Oppdateringene som slippes vil rette svakheter i Windows, Windows Server, Windows RT, Office, Visio og Lync/Communicator, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 2 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktige.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-may

Microsoft gir ut "fix it", nødfiks til IE8-hull

Microsoft gir ut en såkalt "fix it", en nødfiks for det nylig oppdagede hullet i Internet Exporer 8. Det gjør en liten endring i mshtml.dll hver gang IE8 blir lasta. En full oppdatering for å tette hullet er ifølge Microsoft under testing og vil bli tilgjengelig så fort den er klar.
Referanser
http://www.h-online.com/security/news/item/Microsoft-releases-Fix-It-for-IE8-hole-1859776.html

8 personer siktet for et digitalt bankran på 45 millioner dollar

En gruppe kriminelle har ved to forsøk klart å bryte seg inn i bedrifter som prosesserer forhåndsbetalte kreditkort, og dermed lure til seg totalt 45 millioner dollar. 8 av disse er nå siktet av FBI.
Referanser
http://www.wired.com/threatlevel/2013/05/eight-charged-in-bank-heist/

Brukerdatabase fra Name.com stjålet

Name.com, en populær domene-registrator og hosting-selskap, har hatt et innbrudd der brukernavn, epost-adresser, passord og kredittkortinformasjon ble stålet. Heldigvis var passordene og kredittkortinformasjonen kryptert og trolig ubrukelig for angriperene, da de ikke har funnet indikasjoner på at nøklene ble kompromitert.
Referanser
http://nakedsecurity.sophos.com/2013/05/08/name-dot-com-suffers-breach/

Kritisk hull i Adobe ColdFusion

Adobe har funnet en kritisk sårbarhet i ColdFusion 10, 9.0.2, 9.0.1 og tidligere versjoner. Feilen fører til at uautoriserte brukere kan hente filer fra en server, og svakheten skal allerede bli aktivt utnyttet.
Anbefaling
Administrator bør begrense tilgang til mappene CFIDE/administrator, CFIDE/adminapi og CFIDE/gettingstarted. Les detaljer i advisoryen til Adobe under referanser.
Referanser
http://www.adobe.com/support/security/advisories/apsa13-03.html
http://www.h-online.com/security/news/item/Adobe-acknowledges-critical-hole-in-ColdFusion-1859798.html

Cisco retter flere svakheter i Unified CVP

Cisco har sluppet en oppdatering til Unified Customer Voice Portal som retter flere svakheter. De mest alvorlige svakhetene kan utnyttes til å utføre blant annet tjenesteknektangrep, forbigå autentiseringsmekanismer og eksekvere kommandoer.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130508-cvp

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.