FireFox og Thunderbird oppdatert. Annonseprogramvare fra OpenX kompromittert. Norske bedrifter rammet av svindel-eposter. Forklaring av BREACH-angrepet. Svakhet i autentisering av Google-konto på Android.
FireFox og Thunderbird oppdatert
| Mozilla har sluppet versjon 23 av FireFox. Denne utbedrer flere kritiske svakheter. Den blokkerer også sider som inneholder en miks av kryptert og ukryptert innhold. Dette blir gjort for å unngå MITM (Man in the Middle)-angrep. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.mozilla.org/security/known-vulnerabilities/firefox.html https://blog.mozilla.org/tanvi/2013/04/10/mixed-content-blocking-enabled-in-firefox-23/ |
Programvare fra OpenX.org har hatt bakdør siden november
| OpenX.org er et system for å levere annonser til brukere av nettsteder. Mange nettsteder, også i Norge, har benyttet seg av dette systemet. I de siste månedene har mange av disse servert malware til sine brukere. Det viser seg nå at OpenX.org ble kompromittert i november i fjor og at angriperne har lagt inn en bakdør i programvaren. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://blog.sucuri.net/2013/08/openx-org-compromised-and-downloads-injected-with-a-backdoor.html |
Epostsvindlere på sommerraid
| Dagens Næringsliv har en artikkel om pågående svindelkampanjer via epost. Epostene blir stadig bedre utformet og får bedre språk. I noen tilfeller har også svindlerne satt opp et falsk telefonnummer som kundene blir forsøkt lurt til å ringe. I sommer har blant annet Sparebank 1, DNB og Visa blitt rammet i Norge. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.dn.no/forsiden/naringsliv/article2659182.ece |
NakedSecurity har gitt ut en artikkel som forklarer BREACH-angrepet.
| NakedSecurity går inn i detaljer på hvordan BREACH-angrepet fungerer. BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) gjør det mulig gjette seg til informasjon selv om denne informasjonen er kryptert da størrelsen på HTTP svarene varierer, avhengig av hvor mye av informasjonen som er redundant. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://nakedsecurity.sophos.com/2013/08/06/anatomy-of-a-cryptographic-oracle-understanding-and-mitigating-the-breach-attack/ |
Svakhet i autentisering av Google-konto på Android
| Det har blitt funnet en svakhet i autentisering av Google-kontoer i Android-applikasjoner. Svakheten går ut går at et token kan bli høstet inn av en ondsinnet applikasjon som som igjen kan brukes til innlogging andre steder. Tokenet fungerer som erstatning for brukernavn og passord. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.theregister.co.uk/2013/08/06/android_oneclick_authentication_open_to_hacking/ |