Oracle har retter 20 feil i Java, Google har lansert Project Zero, en ny banktrojaner er oppdaget og det er funnet en svakhet i AD som lar en angriper skifte passord på brukere. I tillegg har noen stjelt en million passord fra CNET, myndighetene i USA vil ha e-poster lagret i Europa og LibreSSL (lansert i går) er utrygt å bruke på Linux, inntil videre.
CNET kompromitert av russiske hackere
| I følge Nakedsecurity skal CNET ha blitt kompromitert i løpet av helgen som førte til at angriperne stjal 1 million e-postadresser, brukernavn og krypterte passord til nettstedet. CNET rapporterer at W0rm, gruppa som står bak angrepet, ikke har noen planer om å dekryptere passordene eller selge informasjonen da gruppen kun gjorde dette for oppmerksomhet. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://nakedsecurity.sophos.com/2014/07/15/cnet-website-and-1-million-passwords-compromised-by-russian-hacker-group |
Svakhet i Active Directory lar angripere endre passord
| Et svakhet i Active Directory lar angripere endre passord til brukere, og det påståes at dette skjer uten å bli loggført. Angrepet fungerer ved at et program blir kjørt for å stjele en NTLM hash fra brukerens maskin, og angriperen tvinger AD til å bruke en lavere kryptering, deretter utnytter denne svakheten for å så få muligheten til å endre passord på brukeren. I følge sikkerhetsforskerene som fant dette sa Microsoft ikke så dette som en svakhet, men at det var en del av Active Directorys design. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.darkreading.com/active-directory-flaw-lets-attackers-change-passwords/d/d-id/1297298 |
LibreSSL er utrygt å bruke på Linux
| I gårsdagens nyhetsbrev nevnte vi at LibreSSL kom ut med sin første offisielle versjon. Arstechnica melder nå om at sikkerhetsforskere har funnet svakheter i LibreSSL som gjør den utrygt å bruke på Linux. Svakheten skal innebære en feil i PRNG (Pseudo Random Number Generator) som LibreSSL bruker for å generere nøkler. Sikkerhetsforskeren forklarte at han hadde funnet tilfeller hvor LibreSSL PRNG vil føre til at den genererer to eller tre like nøkler når den kjører på Linux systemer. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://arstechnica.com/security/2014/07/only-a-few-days-old-openssl-fork-libressl-is-declared-unsafe-for-linux/ |
Google annonserer Project Zero
| Google har nå annonsert Project Zero, som er en gruppe sammensatt av dyktige hackere som har en spesiell oppgave: Finne svakheter i produkter før andre. De skal for det meste lete etter 0-dagssvakheter og de begrenser seg ikke kun til Google sine produkter. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://googleonlinesecurity.blogspot.no/2014/07/announcing-project-zero.html http://www.wired.com/2014/07/google-project-zero/ |
Regjeringen i USA krever at Microsoft gir over e-post som er lagret i utlandet
| Regjeringen i USA sier at enhver bedrift som opererer innenfor USAs egne grenser må overgi data de har lagret også utenfor landegrensene, om det det forlanges av regjeringen. Dette fører til at Microsoft må overgi e-poster som er lagret i deres datasenter i Irland, noe Microsoft ikke er villig til å gjøre. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://arstechnica.com/tech-policy/2014/07/obama-administration-says-the-worlds-servers-are-ours/ |
Ny bank trojaner, Kronos, fra Russland
| Eksperter fra Trusteer har nylig oppdaget en ny bank trojaner fra Russland. Kronos har blitt avantert på et russisk undergrundsforum. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://securityaffairs.co/wordpress/26649/cyber-crime/kronos-trojan-underground.html |
Oracle har utgitt oppdateringer for Java.
| Oracle har oppdatert Java, hvor de tetter 20 sikkerhetshull, hvor åtte av disse er svært alvorlige. Noen av disse sikkerhetshullene kan utnyttes til å eksekvere kode fra eksternt ståsted uten autorisering. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater systemene til den nyeste versjonen. (Java 7 Update 65 eller Java 8 Update 11) | ||||
| Referanser | ||||
|
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html#AppendixJAVA
http://krebsonsecurity.com/2014/07/java-update-patch-it-or-pitch-it/ | ||||