Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 15 October 2014

2014.10.15 - Nyhetsbrev

Microsoft har sluppet 8 oppdateringer for oktober, deriblant MS14-060 som fikser gårsdagens omtalte zero-day svakhet i Office.

Google har avslørt en alvorlig sårbarhet for SSLv3, kalt "Poodle". Svakheten kan gjøre det mulig for en angriper å utføre et "Mannen-I-Midten" angrep mot en SSLv3 kryptert forbindelse, og således lese innholdet.

Oracle har sluppet oppdateringer for tredje kvartal, som fikser hele 154 svakheter og bugs i en rekke produkter.

Adobe oppdaterer Flash Player og ColdFusion.

Microsoft har sluppet oppdateringer for oktober

Microsoft slapp i går kveld 8 oppdateringer som retter 24 svakheter i Windows, Office, .NET Framework, .ASP.NET og Internet Explorer. Tre av oppdateringene er rangert som kritiske og fem som viktige. MS14-060 fikser gårsdagens omtalte zero-day svakhet i Office som skal ha blitt benyttet i angrep mot bl.a. NATO og Ukraina i august 2014. Det skal også nevnes at MS14-058 fikser to andre svakheter som også skal ha blitt benyttet i målrettede angrep en viss tid. Mer info om dette under.
Referanser
https://technet.microsoft.com/library/securit[...]
http://www.fireeye.com/blog/technical/targete[...]
http://blog.crowdstrike.com/crowdstrike-disco[...]

Adobe oppdaterer Flash Player

Adobe har sluppet oppdatering for Flash Player. Oppdateringen omfatter alle plattformer og retter tre svakheter rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/flas[...]

Oracle har sluppet oppdateringer for tredje kvartal

Oracle har publisert oppdateringer for Oktober. Oppdateringene, rangert som kritiske, retter 154 svakheter og omfatter en rekke produkter bl.a. Java, Oracle Database og Oracle Fusion Middleware.
Referanser
http://www.oracle.com/technetwork/topics/secu[...]
https://blogs.oracle.com/security/entry/octob[...]

Adobe oppdaterer ColdFusion

Adobe har sluppet en "Hotfix" oppdatering for ColdFusion. Oppdateringen omfatter alle plattformer og retter tre svakheter rangert som viktige.
Referanser
http://helpx.adobe.com/security/products/cold[...]

Google avslører sårbarhet i SSL v.3.0

Google har avslørt en sårbarhet, som har fått kallenavnet "Poodle", for SSL 3.0 som gjør det mulig for en angriper med tilgang til trafikken å lese innholdet i en SSL 3.0-sikret tilkobling. Til tross for at SSL 3.0 er en 15 år gammel protokoll er svakheten alvorlig, på grunn av at de fleste nettlesere faller tilbake på SSL 3.0 ved mislykkede forsøk på å bruke nyere SSL (TLS)-versjoner. En angriper kan derfor forårsake en tilkoblingsfeil og dermed tvinge nettleseren ned til den sårbare versjonen.

Iflg. Google er èn måte å beskytte seg på å deaktivere SSL 3.0. Dette kan imidlertid skape en del kompatibilitetsproblemer. Derfor anbefales det heller å benytte seg av nettlesere/applikasjoner som støtter mekanismen TLS_FALLBACK_SCSV. I praksis anser vi sannsynligheten for at man blir angrepet av denne svakheten som liten, da angriperen trenger tilgang til den krypterte trafikken. Det gjelder som vanlig å holde seg unna usikrede trådløse nettverk. En annen angrepsvektor er via kompromitterte hjemmeroutere.

Både Google og FireFox har opplyst at de planlegger å droppe støtte for SSL v3.0 i løpet av få måneder.
Referanser
http://googleonlinesecurity.blogspot.no/2014/[...]
https://www.imperialviolet.org/2014/10/14/poo[...]
https://www.openssl.org/~bodo/ssl-poodle.pdf

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.