Microsoft kommer til å slippe 10 oppdateringer neste uke, men har alt nå kommet med en FixIt for IE8 0-day-svakheten. Adobe ColdFusion og Cisco Unifed CVP har også svakheter som bør taes hånd om. Videre har Wired en artikkel om et stort digitalt bankran, og Name.com har blitt frastjålet en (kryptert) brukerdatabase.
Microsoft publiserer forhåndsvarsel av oppdateringer for mai
| Microsoft melder at de kommer til å slippe 10 oppdateringer tirsdag 12. mars. Oppdateringene som slippes vil rette svakheter i Windows, Windows Server, Windows RT, Office, Visio og Lync/Communicator, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 2 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktige. |
| Referanser |
| http://technet.microsoft.com/en-us/security/bulletin/ms13-may |
Microsoft gir ut "fix it", nødfiks til IE8-hull
| Microsoft gir ut en såkalt "fix it", en nødfiks for det nylig oppdagede hullet i Internet Exporer 8. Det gjør en liten endring i mshtml.dll hver gang IE8 blir lasta. En full oppdatering for å tette hullet er ifølge Microsoft under testing og vil bli tilgjengelig så fort den er klar. |
| Referanser |
| http://www.h-online.com/security/news/item/Microsoft-releases-Fix-It-for-IE8-hole-1859776.html |
8 personer siktet for et digitalt bankran på 45 millioner dollar
| En gruppe kriminelle har ved to forsøk klart å bryte seg inn i bedrifter som prosesserer forhåndsbetalte kreditkort, og dermed lure til seg totalt 45 millioner dollar. 8 av disse er nå siktet av FBI. |
| Referanser |
| http://www.wired.com/threatlevel/2013/05/eight-charged-in-bank-heist/ |
Brukerdatabase fra Name.com stjålet
| Name.com, en populær domene-registrator og hosting-selskap, har hatt et innbrudd der brukernavn, epost-adresser, passord og kredittkortinformasjon ble stålet. Heldigvis var passordene og kredittkortinformasjonen kryptert og trolig ubrukelig for angriperene, da de ikke har funnet indikasjoner på at nøklene ble kompromitert. |
| Referanser |
| http://nakedsecurity.sophos.com/2013/05/08/name-dot-com-suffers-breach/ |
Kritisk hull i Adobe ColdFusion
| Adobe har funnet en kritisk sårbarhet i ColdFusion 10, 9.0.2, 9.0.1 og tidligere versjoner. Feilen fører til at uautoriserte brukere kan hente filer fra en server, og svakheten skal allerede bli aktivt utnyttet. |
| Anbefaling |
| Administrator bør begrense tilgang til mappene CFIDE/administrator, CFIDE/adminapi og CFIDE/gettingstarted. Les detaljer i advisoryen til Adobe under referanser. |
| Referanser |
http://www.adobe.com/support/security/advisories/apsa13-03.html
http://www.h-online.com/security/news/item/Adobe-acknowledges-critical-hole-in-ColdFusion-1859798.html |
Cisco retter flere svakheter i Unified CVP
| Cisco har sluppet en oppdatering til Unified Customer Voice Portal som retter flere svakheter. De mest alvorlige svakhetene kan utnyttes til å utføre blant annet tjenesteknektangrep, forbigå autentiseringsmekanismer og eksekvere kommandoer. |
| Anbefaling |
| Installer oppdatering fra produsent. |
| Referanser |
| http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130508-cvp |