Et rolig døgn.
Det er ingen nye saker siden sist.
Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.
Friday, 29 June 2012
Thursday, 28 June 2012
2012.06.28 - Nyhetsbrev
Ny funksjonalitet for OS X åpner for stille automatisk utrulling av sikkerhetspatcher. Det har blitt publisert 19 nye svakheter i Google Chrome. Cisco WebEx Player inneholder en svakhet som åpner for eksekvering av kode. En svakhet i IBM Cognos åpner også for ekstern kode eksekvering.
Automatisk skjult sikkerhetsoppdateringer til OS X
| I siste oppdatering til Mountain Lion Developer Preview, installeres en "OS X Security Update Test 1.0". Denne åpner opp for automatisk stille utrulling av sikkerhetspatcher. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.zdnet.com/blog/security/silent-security-updates-coming-to-apples-os-x-mountain-lion/12603 |
IBM Cognos tm1admsd.exe Multiple Operations Remote Code Execution Vulnerabilities
| Angripere kan eksekvere kode hos brukeren uten å ha autorisasjon fra brukeren. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Opptater produktet. | ||||
| Referanser | ||||
| http://www.zerodayinitiative.com/advisories/ZDI-12-101 |
||||
Cisco Security Advisory: Buffer Overflow Vulnerabilities in the Cisco WebEx Player
| Angriper kan eksekvere kode hos brukeren. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Opptater produktet | ||||
| Referanser | ||||
| http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120627-webex | ||||
Google Chrome Multiple Vulnerabilities
| Det har blitt påvist 19 svakheter av varierende alvorlighetsgrad i Google Chrome. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppgradèr til versjon 20.0.1132.43. | ||||
| Referanser | ||||
| http://googlechromereleases.blogspot.com/2012/06/stable-channel-update_26.html |
||||
Wednesday, 27 June 2012
2012.06.27 - Nyhetsbrev
450 millioner stjålet i et Hackerangrep. Nordmann tatt for hacking og distribusjon av kredittkortinformasjon.
450 millioner stjålet i hackerangrep
| I går meldte vi om tyverier fra nettbankkunder i Nederland. Det viser seg at saken også har rammet flere andre land. Angriperne har benyttet seg av tradisjonelle bank-trojanere som Spyeye og Zeus men har automatisert prosessen med å svindle kundene. Dette har gjort at de har kunnet svindle svært mange brukere for små beløper. Nytt i denne "kampanjen" er også at angriperne har klart å omgå sikkerheten som ligger i bruk av smartkort og kortterminaler tilkoblet bankkundenes PCer. Noen europeiske banker bruker slike systemer, men til lite nytte. MCaffee har sluppet en rapport om saken. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.aftenposten.no/okonomi/450-millioner-stjalet-i-hackerangrep-6912041.html http://www.mcafee.com/us/resources/reports/rp-operation-high-roller.pdf |
Nordmann tatt av FBI
| En nordmann er tatt for hacking og videresalg/bruk av kredittkortinformasjon. Han skal ha tilegnet seg informasjonen via databaser som tilhørte en bank, et hotell og nettbutikker. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.nrk.no/nyheter/verden/1.8223085 |
Tuesday, 26 June 2012
2012.06.26 - Nyhetsbrev
Forskere har oppdaget en svakhet i kryptobrikke fra RSA. Tusenvis av bankkunder i Belgia har blitt frastjålet penger.
RSA SecurID 800 kodebrikke usikker
| Forskere har klart å hente ut den private nøkkelen fra RSA SecurID 800 kodebrikker. Angrepet tar rundt 13 minutter å utføre. Kodebrikker av denne typen blir f.eks brukt til å krypterte harddisker, signere e-post og logge inn i bedrifters interne nettverk via VPN-tunneler. Forskerne skal offentliggjøre sine funn på Crypto 2012-konferansen i August. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://arstechnica.com/security/2012/06/securid-crypto-attack-steals-keys/ |
Over 10.000 belgiske bankkunder frastjålet penger
| Kunder av fem belgiske banker har blitt rammet av trojanere. Tyvene har overført mellom 200 og 300 euro fra hvert offer og fått mellommenn til å overføre pengene videre. Det dreier seg altså om flere millioner euro. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://isc.sans.edu/diary.html?storyid=13555 http://www.standaard.be/artikel/detail.aspx?artikelid=DMF20120625_135 |
Monday, 25 June 2012
Friday, 22 June 2012
2012.06.22 - Nyhetsbrev
Det er oppdaget en sårbarhet i Apples Quicktime. AOL har oppdatert sin browser toolbar, pga en sårbarhet. En sårbarhet i DataDirect OpenAccess er patchet.
Apple Quicktime TeXML transform Attribute Remote Code Execution Vulnerability
| Angriper kan eksekvere kode hos brukere som har sårbare versjoner av Apple Quicktime. Denne sårbarheten krever brukerinteraksjon ved at bruker enten besøker en ondsinnet webside eller åpner en ondsinnet fil. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater produktet | ||||
| Referanser | ||||
| http://www.zerodayinitiative.com/advisories/ZDI-12-095 |
||||
AOL Products dnUpdater ActiveX Uninitialized Pointer Remote Code Execution Vulnerability
| Angripere kan eksekvere kode hos brukere som har sårbare versjoner av AOL produkter. Disse sårbarhetene krever brukerinteraksjon ved at bruker enten besøker en ondsinnet webside eller åpner en ondsinnet fil. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater produktene | ||||
| Referanser | ||||
| http://www.zerodayinitiative.com/advisories/ZDI-12-098 |
||||
DataDirect OpenAccess oaagent.exe GIOP Remote Code Execution Vulnerability
| Sårbarheten tillater at angripere kan eksekvere kode på sårbare installasjoner av DataDirect Sequelink. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater produktene, | ||||
| Referanser | ||||
| http://www.zerodayinitiative.com/advisories/ZDI-12-099 |
||||
Thursday, 21 June 2012
2012.06.21 - Nyhetsbrev
Cisco er ute med en oppdatering til VPN-klienten AnyConnect Secure Mobility Client.
I tillegg melder flere om aktiv utnyttelse av Microsofts XML Core svakhet.
Cisco retter svakheter i AnyConnect Secure Mobility Client
| Cisco har publisert en oppdatering til VPN-klienten AnyConnect Secure Mobility Client. Den retter flere svakheter, som blant annet kan utnyttes av en angriper til å installere eldre versjoner av VPN-klienten, eksekvere kode og tilgang til sesjonsdata fra brukerens nettleser. Svakheten eksisterer på plattformene Windows, OS X og Linux, men mobile plattformer som iOS og Android er ikke rammet. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Installer oppdatering fra produsent. | ||||
| Referanser | ||||
| http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ac | ||||
Upatchet svakhet utnyttes mot Internet Explorer
| Svakheten vedrørende Microsoft XML Core Services, som vi har skrevet om tidligere, blir nå aktivt utnyttet. Både Symantec og Naked Security skriver om detaljene, men kort fortalt trenger du bare besøk en webside med Internet Explorer for å bli tatt. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Følg anbefalingen fra Microsoft: http://support.microsoft.com/kb/2719615 | ||||
| Referanser | ||||
| http://www.symantec.com/connect/blogs/cve-2012-1889-action http://nakedsecurity.sophos.com/2012/06/19/unpatched-microsoft-security-vulnerability-exploited/ http://support.microsoft.com/kb/2719615 |
||||
Wednesday, 20 June 2012
2012.06.20 - Nyhetsbrev
The Washington Post har publisert en interessant artikkel om Flame og dets rolle og opphav.
Bakgrunnsinfo om Flame fra The Washington Post.
| The Washington Post har en lengre artikkel rundt Flame og dets rolle i cyberangrepene mot Iran's atomanlegg. Iflg. artikkelen har Flame sitt utspring i et Israelsk-amerikansk samarbeid hvis hensikt er å forsinke Iran's atomprogram. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story_1.html |
Tuesday, 19 June 2012
2012.06.19 - Nyhetsbrev
Exploit mot Internet Explorer utnyttes aktivt.
Svakhet i Internet Explorer utnyttes aktivt
| En exploit mot en av svakhetene som ble patchet av Microsoft sist uke blir nå aktivt utnyttet. Brukere av Internet Explorer får installert malware når de besøker infiserte websider. Exploiten har også blitt lagt inn i rammeverket Metasploit. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://nakedsecurity.sophos.com/2012/06/19/ie-remote-code-execution-vulnerability-being-actively-exploited-in-the-wild/ |
Monday, 18 June 2012
2012.06.18 - Nyhetsbrev
CareFusion, en amerikanske produsent av medisinsk utstyr har spredt malware i forbindelse med websidene for oppdatering av blant annet respiratorer. Man frykter konsekvensene dersom kritisk medisinsk utstyr blir infisert.
Nye versjoner av PHP er sluppet som retter en svakhet i crypt-funksjonen.
Oracle melder at E-Business Suite er inkompatibel med Java 7 og anbefaler brukere å slå av auto-oppdatering.
PHP 5.3.14 og PHP 5.4.4 er ute
| Nye versjoner av PHP (5.3.14 og 5.4.4) har blitt sluppet. De retter en svakhet i crypt-funksjonen vedrørende implementeringen av DES. De inneholder i tillegg en rekke mindre feilrettinger. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.php.net/archive/2012.php#id2012-06-14-1 |
Oracle anbefaler brukere av EBS til å deaktivere autooppdatering av Java
| Oracle har gått ut med en anbefaling til brukere av EBS (E-Business Suite) om å deaktivere auto-oppdatering av Java. Dette fordi det er problemer med Java 7 som gjør det inkompatibelt med EBS. Det er ikke kjent når problemene vil være fikset. | ||||
| Referanser | ||||
|---|---|---|---|---|
| https://blogs.oracle.com/stevenChan/entry/bulletin_disable_jre_auto_update |
CareFusion har servert malware til brukerne av dere oppdateringstjeneste
| Det har blitt oppdaget at oppdateringstjenesten til CareFusion Inc. har servert brukere malware. CareFusion Inc.er en amerikansk produsent av medisinsk utstyr og den infiserte tjenesten har adressen Viasyshealthcare.com. Det var gjennom en skanning utført av Googles Safe Browsing program som oppdaget dette og det er anslått at omtrent 6 % av alle sidene var infisert. En talsmann for CareFusion har uttalt at de undersøker saken og at de midlertidig har fjernet de berørte oppdateringene. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://threatpost.com.mx/en_us/blogs/software-update-site-hospital-respirators-found-riddled-malware-061412 |
Friday, 15 June 2012
2012.06.15 - Nyhetsbrev
VMWare har sluppet oppdateringer til en rekke av sine produkter.
VMWare oppdaterer flere produkter
| VMWare har sluppet oppdateringer til for ESX, ESXi, Workstation, Fusion og Player. Oppdateringene retter en sårbarhet i valideringen av Checkpoint-filer, noe som kan gi uvedkommende mulighet til å eksekvere kode på vertmaskinen. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.vmware.com/security/advisories/VMSA-2012-0011.html |
Thursday, 14 June 2012
2012.06.14 - Nyhetsbrev
Apple oppdaterer Java for OSX, og Microsoft har publisert informasjon rundt en sårbarhet i XML Core Services (MSXML).
Apple oppdaterer Java for OSX
| Apple oppdaterer Java for OSX 10.6.8 og OSX Lion 10.7.4. Dette er den samme oppdateringen som Oracle nettopp har publisert for andre plattformer. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://support.apple.com/kb/HT5319 |
Sårbarhet i Microsoft XML Core Services
| Microsoft har publisert informasjon rundt en sårbarhet i XML Core Services (MSXML) som kan gi en angriper mulighet til å utføre ekstern kodeeksekvering. Sårbarheten utnyttes ved at en bruker lures til å åpne en spesialdesignet nettside i Internet Explorer. Microsoft jobber med å utvikle en patch til denne sårbarheten. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Følg anbefalinger fra produsent. | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/advisory/2719615 | ||||
Wednesday, 13 June 2012
2012.06.13 - Nyhetsbrev
Mange og alvorlige sikkerhetsoppdateringer fra Microsoft, Oracle, Adobe og Symantec.
Microsoft svakhetene omfatter RDP, Internet Explorer, .NET rammeverket, Lync, Dynamisk AE Enterprise portal og flere kjerne modul svakheter. Mange av disse kan misbrukes ved å lokke brukeren inn på en webside med spesialkode.
Symantec patcher sin Web Gateway, mens Adobe oppdatere en svakhet i ColdFusion.
Oracle har sluppet sin kvartalsvise oppdateringspakke til Java SE. Denne dekker 14 sårbarheter hvor 12 er kritiske og kan utnyttes fra eksternt hold.
Oracle gir ut nye oppdateringer for Java SE
| Oracle har sluppet sin kvartalsvise oppdateringspakke for Java SE. Oppdateringen dekker 14 sårbarheter i flere Java SE produkter. 12 av svakhetene blir regnet som kritiske av Oracle og kan bli utnyttet fra eksternt hold. For fullstendig liste over sårbarheter, se referanse. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html |
Vulnerability in Remote Desktop Could Allow Remote Code Execution (2685939) (MS12-036)
| Oppdateringen dekker en svakhet i "Remote Desktop"-protokollen som kan føre til ekstern kodeeksekvering dersom en angriper sender en spesialdesignet "RDP"-pakke til et system. Denne protokollen er som standard ikke aktivert og systemer som ikke har den aktivert er ikke sårbare. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater produktene | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/MS12-036 | ||||
Vulnerability in .NET Framework Could Allow Remote Code Execution (2706726) (MS12-038)
| Oppdateringen fikser en svakhet i Microsoft .NET Framework som kan føre til ekstern kodeeksekvering dersom en bruker besøker en spesialdesignet nettside med en nettleser som kan kjøre XAML-applikasjoner. Svakheten kan i tillegg bli brukt til å omgå CAS (Code Access Security) sikkerhetsrestriksjoner. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Microsoft .NET Framework | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/ms12-038 | ||||
Cumulative Security Update for Internet Explorer (2699988) (MS12-037)
| Oppdateringen fikser 13 svakheter i Internet Explorer. De mest alvorlige svakhetene kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Internet Explorer | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/ms12-037 | ||||
Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2711167) (MS12-042)
| Oppdateringen dekker to svakheter i Microsoft Windows som kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering dersom angriperen logger seg på et system og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må en angriper ha gyldig påloggingsinformasjon. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater produktene | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/MS12-042 | ||||
Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2709162) (MS12-041)
| Oppdateringen fikser fem svakheter i Microsoft Windows, der den mest alvorlige kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering ved å logge seg på et system og kjører en spesialdesignet applikasjon. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Microsoft Windows | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/ms12-041 | ||||
Vulnerability in Microsoft Dynamics AX Enterprise Portal Could Allow Elevation of Privilege (2709100) (MS12-040)
| Oppdateringen fikser en svakhet i Microsoft Dynamics AX Enterprise Portal som kan føre til rettighetseskalering dersom en bruker åpner en spesialdesignet URL eller besøker en spesialdesignet nettside. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Microsoft Dynamics AX 2012 Enterprise Portal | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/ms12-040 | ||||
Vulnerabilities in Lync Could Allow Remote Code Execution (2707956) (MS12-039)
| Oppdateringen fikser fire svakheter i Microsoft Lync. Den mest alvorlige svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker åpner en fil som inneholder en spesialdesignet "TrueType"-font. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Microsoft Lync | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/MS12-039 | ||||
Symantec oppdaterer Web Gateway
| Symantec har publisert Web Gateway 5.0.3. Flere sårbarheter har blitt rettet. Dette er sårbarheter som blant annet kan gi uvedkommende mulighet til å utføre ekstern kodeeksekvering og det har tidligere blitt publisert eksempler fungerende angrep. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Installer oppdatering fra produsent. | ||||
| Referanser | ||||
| http://www.symantec.com/business/support/index?page=content&id=DOC5610 http://www.h-online.com/security/news/item/Multiple-vulnerabilities-in-Symantec-Web-Gateway-eliminated-1616463.html |
||||
Adobe oppdaterer ColdFusion
| Adobe har sluppet en oppdatering til ColdFusion. Den retter en svakhet i håndteringen av HTTP-forespørsler. Adobe har ikke gått ut med mer konkret informasjon rundt denne svakheten. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Installer oppdatering fra produsent. | ||||
| Referanser | ||||
| http://www.adobe.com/support/security/bulletins/apsb12-15.html | ||||
Tuesday, 12 June 2012
2012.06.12 - Nyhetsbrev
Forskere ved Kaspersky hevder å ha funnet en sammenkobling mellom Flame og Stuxnet.
Mulig kobling mellom Flame og Stuxnet
| Forskere ved Kaspersky har oppdaget en kobling mellom Flame og Stuxnet. Dette ble oppdaget etter å ha analysert flere forskjellige varianter av Stuxnet. Koblingen ble oppdaget da de analyserte en sample fra 2010 som inneholdt en Flame modul. Denne modulen ble brukt for å spre Stuxnet ved hjelp av autorun. Nyere versjoner inneholder ikke denne modulen, men spres ved å utnytte andre svakheter. Forskerne konkluderer med at Flame er eldre enn Stuxnet, at utviklerne av Stuxnet muligens har hatt tilgang til kildekoden til Flame og at Stuxnet og Flame, siden 2010, har blitt utviklet hver for seg. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.securelist.com/en/blog/208193568/Back_to_Stuxnet_the_missing_link |
Monday, 11 June 2012
2012.06.11 - Nyhetsbrev
Adobe har sluppet nye oppdateringer. Det har blitt offentliggjort en ny svakhet i autentiseringsmekanismen til databaseserverene MySQL og MariaDB. Vi kan også anbefale en bloggartikkel fra Agilebits som gir en god forklaring på hvordan md5 kollisjoner fungerer og hvordan dette kan ha blitt brukt av trojaneren Flame til å signere falske Microsoft oppdateringer.
AgileBits: Flames and collisions
| Bloggposten gir et interessant innblikk i hvordan md5 kollisjoner fungerer og hvordan dette i teorien kan utnyttes av en angriper til å signere helt andre filer enn det som var tenkt i utgangspunktet. Dette er en metode som skal ha blitt brukt av trojaneren Flame til å signere falske Microsoft oppdateringer. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://blog.agilebits.com/2012/06/07/flames-and-collisions/ |
Adobe Flash Player oppdateres
| Adobe har sluppet ut en oppdatering til Adobe Flash Player og Adobe Air som dekker 7 svakheter. Den mest alvorlige svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Adobe Flash Player | ||||
| Referanser | ||||
| http://www.adobe.com/support/security/bulletins/apsb12-14.html | ||||
Autentiseringsvakhet i MySQL og MariaDB
| Svakheten gjør det mulig for en angriper å autentisere seg mot sårbare databaser som root brukeren uten å bruke passord. Angrepet er enkelt å gjennomføre og metoden er offentlig tilgjengelig. Svakheten fungerer bare på enkelte databaseinstallasjoner. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Begrens tilgangen til serveren. | ||||
| Referanser | ||||
| https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql | ||||
Friday, 8 June 2012
2012.06.08 - Nyhetsbrev
Microsoft has sluppet sin Advance Notification for neste ukes oppdateringer. Det rapporteres om at Flame har brukt en hittil ukjent metode for å oppnå md5 kollisjoner, og last.fm ber brukerne sine bytte passord etter mulig sikkerhetsbrudd.
Flame brukte ukjent MD5 kollisjons-metode
| Experter på kryptografi rapporterer om at malwaren Flame har brukt en hittil ukjent metode for å oppnå MD5-kollisjoner. Flame bruker en ukjent såkalt "chosen-prefix collision attack" metode, som betyr at de har generert fungerende filer som har en forhåndsbestemt MD5-hash. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware http://arstechnica.com/security/2012/06/flame-crypto-breakthrough/ |
Last.fm ber brukerne sine om å skifte passord
| Last.fm har advart brukerne sine om et mulig sikkerhetsbrudd. De kan ikke bekrefte at det har vært et sikkerhetsbrudd, men de undersøker saken og vil publisere mer når de kommer til bunnen av saken. For å være sikre ber de brukerne sine om å logge inn på deres nettsider for å skifte passord. Antall passord som kan ha blitt kompromittert er enda ikke offentliggjort og det ryktes at listen er over ett år gammel. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.last.fm/passwordsecurity |
Microsoft Security Bulletin Advance Notification for June 2012
| Microsoft har publisert listen over kommende oppdateringer for juni. Listen inneholder 7 sikkerhetsoppdateringer som skal dekke 28 svakheter, der 3 av sikkerhetsoppdateringene regnes som kritiske. Microsoft Windows, Internet Explorer, Visual Basic for Applications, Dynamics AX og .NET Framework vil bli oppdatert. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://technet.microsoft.com/en-us/security/bulletin/ms12-jun |
Thursday, 7 June 2012
2012.06.07 - Nyhetsbrev
Linkedin bekrefter at de lekkede passord-hashene tilhører deres medlemmer. Mozilla har sluppet oppdateringer.
LinkedIn har bekreftet lekkasje av passordhasher
| LinkedIn har bekreftet at noen av passordhashene som har blitt lekket korresponderer med passordene til brukere hos dem. Det er sterkt anbefalt å endre passordet sitt på alle tjenester hvor man har brukt det samme passordet. Brukere som har fått kompromittert sitt passord skal motta en e-post fra Linkedin med videre instruksjoner. De opplyser også at de nettopp har innført bedre sikkerhet rundt tjenesten sin, blant annet med "salting" av passord. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/ |
Mozilla Firefox / Thunderbird / SeaMonkey Multiple Vulnerabilities
| Mozilla har sluppet nye versjoner av Firefox, Thunderbird og SeaMonkey som tetter 7 svakheter der 4 regnes som kritiske og kan utnyttes til å få kjørt vilkårlig kode fra eksternt hold. Det anbefales derfor å oppdatere til siste versjon. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater produktene | ||||
| Referanser | ||||
| http://www.mozilla.org/security/announce/ http://www.mozilla.org/security/announce/2012/mfsa2012-34.html http://www.mozilla.org/security/announce/2012/mfsa2012-35.html http://www.mozilla.org/security/announce/2012/mfsa2012-36.html http://www.mozilla.org/security/announce/2012/mfsa2012-37.html http://www.mozilla.org/security/announce/2012/mfsa2012-38.html http://www.mozilla.org/security/announce/2012/mfsa2012-39.html http://www.mozilla.org/security/announce/2012/mfsa2012-40.html |
||||
Wednesday, 6 June 2012
2012.06.06 - Nyhetsbrev
Ekstra nyhetsbrev ang. mulig lekkasje av Linkedin passord-hasher.
Passord-hasher til Linkedin trolig publisert på nettet.
| Vi har indikasjoner på at (usaltede sha-1) passord-hasher fra det populære nettstedet Linkedin kan være sluppet offentlig på nettet. Dette betyr at angripere kan komme til å finne ut hvilket passord du bruker på Linkedin og bryte seg inn på kontoen din. Vi vil derfor anbefale alle Linkedin-brukere å skifte passord så fort som mulig. Bytt også passord på andre nettsteder dersom du har brukt det samme passordet der. Bruk et langt passord, gjerne 10 eller fler bokstaver, tegn og tall. Jo lengre og mer avansert passord du velger, jo vanskeligere blir det for angripere å finne ut av det. |
||||
| Referanser | ||||
|---|---|---|---|---|
| N/A |
2012.06.06 - Nyhetsbrev
Økning i angrep mot norske nettsider. Google varsler brukerne av Gmail ved mistanke om statsstøttet angrep. Adobe har adressert flere svakheter i deres produkter.
Økning i angrep mot norske nettsider
| I følge Basefarm har det vært en økning fra 5-6 tjenestenektangrep i fjor til 30 i år. I tillegg har intensiteten på angrepene økt. Grunnen er at verktøyene som blir brukt til slike angrep har blitt billigere og bedre. De forteller at angrepene er blitt mer organisert og pågår lengre. Basefarm sier også at det er både lett og billig å leie et botnet som kan brukes i slike angrep, og at de i tillegg har observert en økning i angrep fra mobile enheter. Gruppen DotNetFuckers stod bak flesteparten av angrepene i år. Gruppen utførte en rekke angrep mot norske nettsider før tips fra Anonymous førte til arrestasjonen av to mistenkte ungdommer. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.idg.no/computerworld/article246779.ece |
Google varsler brukerne av gmail ved mistanke om statsstøttet angrep
| Google varsler brukerne av Gmail dersom de mistenker at deres konto kan være utsatt for et statsstøttet angrep iform av for eksempel phishing eller malware. De sier ikke noe om hvordan de kan vite at angrepene er statstøttet, men oppfordrer til å være årvåkne og bruke 2-faktor autentisering. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://googleonlinesecurity.blogspot.no/2012/06/security-warnings-for-suspected-state.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+GoogleOnlineSecurityBlog+(Google+Online+Security+Blog) |
Adobe har adressert flere svakheter i deres produkter.
| Adobe har utgitt oppdateringer til Adobe Photoshop og Illustrator som fikser et alvorlig sikkerhetshull. Adobe er litt sparsomme med detaljer, men skriver at en angriper vil kunne ta over ditt system ved å utnytte disse svakhetene. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Brukere av disse produktene anbefales å gjennomgå Adobe sikkerhetsoppdateringer (APSB12-10 og APSB12-11) og oppdatere dersom du har en sårbar versjon. | ||||
| Referanser | ||||
| http://www.adobe.com/support/security/bulletins/apsb12-10.html http://www.adobe.com/support/security/bulletins/apsb12-11.html |
||||
Tuesday, 5 June 2012
2012.06.05 - Nyhetsbrev
Flame spres via Microsoft Update. Svakhet oppdaget i Google Bouncer.
Flame spres via Microsoft Update
| Flame er et sofistikert malware og inneholder blant annet to moduler, "Gadget"og "Munch". Disse modulene muliggjør man-in-the-middle angrep på Windows Update mot andre maskiner på samme nettverk. En Flame infisert maskin kan oppføre seg som en Web Proxy Autodiscovery Protocol (WPAD) server. Windows maskiner med standard proxy innstillinger vil forsøke å kontakte en WPAD server for instruksjoner angående bruk av HTTP proxy i forbindelse med Windows Update. Den infiserte maskinen kan, ved hjelp av svakheten i Microsoft-sertifikat som vi beskrev i gårsdagens nyhetsbrev, utnytte dette til å spre Flame videre internt i nettverk. Microsoft slapp i går en fiks (KB2718704) mot svakheten i deres sertifikater. Denne blokkerer tre sertifikater brukt av Flame. Vi anbefaler alle Windows brukere å oppdatere. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.securelist.com/en/blog/208193558/ Gadget_in_the_middle_Flame_malware_spreading_vector_identified |
Svakhet oppdaget i Google Bouncer
| Det er blitt oppdaget, og utnyttet, en svakhet i Google Bouncer tjenesten som muliggjør opplasting av ondsinnede applikasjoner til Google Play (Andoid Market). | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://news.cnet.com/8301-1009_3-57447172-83/researchers-bypass-googles-android-malware-detector |
Monday, 4 June 2012
2012.06.04 - Nyhetsbrev
Microsoft gir ut oppdatering etter at deres egne sertifikater ble brukt til å signere Flame. Symantec har skrevet en oppsummering rundt trojaneren Tatanarg.B. China Telecom, Warner Bros og Cloudflare har blitt hacket.
Microsoft-sertifikat brukt til å signere Flame
| Microsoft har sluppet en oppdatering til Windows etter analyse av malwaren Flame. Microsoft har oppdaget at deler av Flame er signert med et av deres sertifikater. Sertifikatet var egentlig kun ment til å signere lisenser i forbindelse med Terminal-servere, men det er også mulig å signere koder/programmer med det. Microsoft trekker i denne sikkerhetsoppdateringen tilbake dette og to andre sertifikater. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://technet.microsoft.com/en-us/security/advisory/2718704 http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx |
China Telecom og Warner Bros angrepet av hackergruppe
| Hackergruppen SwaggSec påstår at de har brutt seg inn i interne nettverk hos China Telecom og Warner Bros. De har hentet ut diverse intern informasjon som de har lagt ut på The Pirate Bay. Blant annet har de lagt ut login-informasjon til 900 admin-brukere hos China Telecom. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://pastebin.com/u9n2SBUX |
Trojan.Tatanarg.B. infiserer nordiske brukere
| Symantec har skrevet en oppsummering rundt trojaneren Tatanarg.B. Denne trojaneren har spesielt stor spredning i de nordiske landene. Den har blant annet muligheten til å dekryptere og endre trafikk til nettbanker. Trojaneren blir spredd via infiserte websider og også sendt ut som spam via e-post. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.symantec.com/connect/blogs/trojantatanargb-careful |
Cloudflare hacket gjennom feil hos Google
| Cloudflare er en leverandør av DDoS-beskyttelse. Hackergruppen UGNazi har i helgen fått tilgang til interne systemer hos Cloudflare. Dette ble gjort gjennom en svakhet i Googles autentiseringssystem. Hackerne klarte å legge til en ny e-post-adresse til en Google-konto. Gjennom denne adressen kunne de så nullstille kontoens passord. Hvordan dette var mulig er uklart, men Google opplyser at de har utbedret feilen. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://blog.cloudflare.com/post-mortem-todays-attack-apparent-google-app |
Friday, 1 June 2012
2012.06.01 - Nyhetsbrev
The New York Times har en lengre artikkel rundt stuxnet og USAs rolle. Passord til den amerikanske marinen er på avveie, og hacker Cosmo er blitt arrestert i kjølevannet av WHMCS hack.
The New York Times sak rundt stuxnet og USA's rolle
| The New York Times har en lengre artikkel rundt stuxnet og cyberangrepene mot Iran, der det hevdes at Obama ga orde om å intensivere cyberangrepene mot Iran's atomprogram. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=1&hp |
UGNazi hacker Cosmo arrestert i kjølvannet av WHMCS hack
| Cosmo som antas å være hovedmannen bak gruppen UGNazi ble arrestert 30. mai. Dette skjer etter at gruppen i forrige uke kompromitterte WHMCS som leverer betalingssystem til mindre nettsider, og distribuerte sensitive klientdata på pirate bay. Blant annet kryptert informasjon om 13 000 kredittkort ble lekket. I tillegg skal gruppen tatt kontroll over firmaets twitter konto, og utsatt nettsiden for DDOS angrep. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://news.softpedia.com/news/UGNazi-Hacker-Cosmo-Arrested-After-WHMCS-Breach-272565.shtml http://www.h-online.com/security/news/item/Man-arrested-for-hacking-into-billing-provider-1587517.html?mrw_channel=security;mrw_channel=security;from-mobi=1 |
Brukerkontoer tilhørende den amerikanske marinen på avveie
| En ukjent hackergruppe har publisert en liste over brukerkontoer med passord tilhørende den amerikanske marinen. (Navy.mil). Det er enda ikke kjent hvor disse stammer fra og gruppen har ikke kommet med noen uttalelser. Saken har heller ikke blitt kommentert fra offentlig hold. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://pastebin.com/H3WxpT9V |
2012.06.01 - Nyhetsbrev
Cisco har sluppet en oppdatering til IOS XR.
Det er ingen nye saker siden sist.
Subscribe to:
Posts (Atom)
