Nyheter från Sitic

Microsoft rättar .LNK-sårbarheten nu på måndag

2010-07-31T09:30:28Z

Sårbarheten som vi skrev om i SR10-131 har bland annat utnyttjas av den uppmärksammade trojanen Stuxnet. Efter att sårbarheten blev allmänt känd så har flera typer av skadlig kod implementerat stöd för att utnyttja den och Microsoft har beslutat sig för att släppa en rättning utanför den ordinarie uppdateringscykeln.

MSRC annonserade rättning här: http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx

Microsoft Malware Protection Center (MMPC) beskriver närmare vilka typer av skadlig kod som har stöd för att utnyttja sårbarheten här: http://blogs.technet.com/b/mmpc/archive/2010/07/30/stuxnet-malicious-lnks-and-then-there-was-sality.aspx

Microsoft skriver att uppdateringen ska släppas någon gång runt "10 AM PDT" vilken blir någon gång runt klockan 19.00 för oss i Sverige.

Sitics veckobrev v.30

2010-07-30T12:42:32Z

Nyheter i veckan

Barnaby Jack visade bankomat-hack på Black Hat-konferensen
http://www.theregister.co.uk/2010/07/28/atm_hacking_demo

Mer från Black Hat: Forskare om hur lättillgänglig utrustning kan användas för att spåra mobiltelefonanvändare

http://mobile.venturebeat.com/2010/07/29/project-carmen-sandiego-can-track-down-your-cell-phone-and-your-whereabouts

Symantec om hur Stuxnet kommunicerar och hur C&C-infrastrukturen ser ut

http://www.symantec.com/connect/blogs/w32stuxnet-network-operations

Mer från Symantec om de olika Stuxnet-varianter som har analyserats och vad som skiljer dem åt

http://www.symantec.com/connect/blogs/w32stuxnet-variants

Graham Cluley om BitTorrent-filen innehållande (redan publika) Facebook-användarkonton

http://www.sophos.com/blogs/gc/g/2010/07/29/details-100-million-facebook-users-exposed-internet

Intressant analys av lösenordshantering (del 1/3)
http://www.lightbluetouchpaper.org/2010/07/27/passwords-in-the-wild-part-i-the-gap-between-theory-and-implementation

Intressant analys av lösenordshantering (del 2/3)

http://www.lightbluetouchpaper.org/2010/07/28/passwords-in-the-wild-part-ii-failures-in-the-marke

Intressant analys av lösenordshantering (del 3/3)

http://www.lightbluetouchpaper.org/2010/07/29/web-password-standards-2

Mariposa-utvecklaren "Iserdo" gripen i Slovenien

http://www.bbc.co.uk/news/technology-10786701

Lenny Zeltser om hur olika dokumenttyper som innehåller skadlig kod kan analyseras

http://zeltser.com/reverse-malware/analyzing-malicious-documents.html

Statistik visar att få anmäler att de blivit lurade att köpa falska antivirus-produkter
http://krebsonsecurity.com/2010/07/rogue-antivirus-victims-seldom-fight-back

Verizon släppte rapporten: "2010 Data Breach Investigations Report" (pdf)

http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

Cisco 2010 Midyear Security Report (pdf)

http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_mid2010.pdf

Förteckning över kommersiella och gratisvarianter av diverse honungsfällor

http://glasblog.1durch0.de/?page_id=101

Sitic i veckan

SR10-142 Apple - Ett flertal sårbarheter i Safari

SR10-141 IBM - Sårbarheter i Lotus Notes

SR10-140 Google - Flera sårbarheter i Google Chrome

SR10-139 Apple - Sårbarhet i QuickTime Player

SR10-138 Symantec - Sårbarhet i Alert Management Service

SR10-137 GnuPG - Sårbarhet i GPGSM

SR10-136 Mozilla - Sårbarhet i Firefox

Nya versioner av Snort

2010-07-29T14:13:12Z

Bland nyheterna i beta-versionen finns bland annat stöd för hårdvaruaccelerering. Det är mycket välkommet och kan höja prestandan markant på system som har stöd för detta.

För mer information, se: http://www.snort.org/news/2010/07/28/snort-2-8-6-1-and-snort-2-9-beta-released

SR10-142 Apple - Ett flertal sårbarheter i Safari

2010-07-29T08:16:14Z

Apple har släppt uppdateringar som rättar sårbarheter i Safari för Mac OS X och Microsoft Windows. Totalt är det 15 sårbarheter som rättas där de mer allvarliga kan medge godtycklig kodexekvering på ett sårbart system.

För att utnyttja sårbarheterna måste en angripare få en användare att besöka en riggad webbplats eller öppna en specialkonstruerad fil.

För mer information om respektive sårbarhet och uppdateringar, se länkarna nedan.

SR10-141 IBM - Sårbarheter i Lotus Notes

2010-07-28T14:10:00Z

En angripare kan utnyttja sårbarheterna genom att skicka ett e-postmeddelande med en specialkonstruerad bifogad fil till en användare med en sårbar version av Lotus Notes. När användaren öppnar och väljer att visa den bifogade filen så kan angriparen potentiellt exekvera godtycklig kod på användarens dator.

Lotus Notes brister i tolkningen av följande dokumenttyper och specialkonstruerade varianter av dessa kan alltså användas i ovan attack-exempel:

Lotus 1-2-3 Spreadsheet
Microsoft Office Spreadsheet
Microsoft Office Word
Microsoft Word 2.0
OLE document
QuattroPro speed reader
WordPerfect 5

För mer information och rättningar, se länkarna nedan.

SR10-140 Google - Flera sårbarheter i Google Chrome

2010-07-27T14:00:00Z

Google uppdaterar webbläsaren Google Chrome till version 5.0.375.125 och passar på att rätta ett flertal sårbarheter. Informationen om sårbarheterna är bristfällig men bland annat rättas sårbarheter som kan medge informationsläckage och godtycklig kodexekvering.

Uppdaterade versioner finns ute till Linux, Mac, Windows och Chrome Frame.

Följande personer identifierade sårbarheterna:

Michail Nikolaev
sp3x, SecurityReason.com
Jose A. Vazquez
Aki Helin, OUSPG
Google Chrome Security Team (Inferno)

För mer information, se länkarna nedan.

SR10-139 Apple - Sårbarhet i QuickTime Player

2010-07-27T13:32:00Z

Krystian Kloskowski identifierade sårbarheten som är av typen stack-baserad buffertöverflödning. Den existerar i "QuickTimeStreaming.qtx" som inte hanterar indata på ett korrekt sätt.

Sårbarheten kan utnyttjas genom att förmå en användare med en sårbar version av applikationen att besöka en specialkonstruerad webbplats. Vid ett effektivt utnyttjande så kan det vara möjligt att exekvera godtycklig kod med samma rättigheter som den drabbade applikationen har.

Sårbarheten är verifierad i QuickTime 7.6.6 (1671) för Microsoft Windows, men kan även finnas i andra versioner. För tillfället finns ingen rättning att tillgå.

Som en tillfällig lösning kan rättigheterna till "QuickTimeStreaming.qtx" begränsas eller så kan filen döpas om till något annat. Om detta görs så går det inte längre att spela upp strömmande media i QuickTIme, men lokala filer går fortfarande att spela upp.

För mer information, se länkarna nedan.

SR10-138 Symantec - Sårbarhet i Alert Management Service

2010-07-27T08:46:52Z

En extern angripare kan utnyttja sårbarheten genom att skicka specialkonstruerade kommandon till "Intel Alert Handler Service" (hndlrsvc.exe) över TCP-port: 38292. Vid ett effektivt utnyttjande kan godtycklig kod exekveras med SYSTEM-rättigheter på det sårbara systemet.

Symantec "System CenterConsole" med "Alert Management Service" är också sårbart.

I skrivandets stund finns ingen rättning att tillgå. För mer information, se länkarna nedan.

SR10-137 GnuPG - Sårbarhet i GPGSM

2010-07-26T13:39:00Z

Peter Gutmann har identifierat sårbarheten som finns i verktyget GPGSM. Bristen existerar vid hanteringen av certifikat som har fler än 98 SAN (Subject Alternate Names). En angripare kan utnyttja sårbarheten genom att skicka ett meddelade som är signerat med ett riggat certifikat och förmå en användare med en sårbar version av GPGSM att verifiera signaturen.

Vid ett effektivt utnyttjande kan angriparen exekvera godtycklig kod på användarens dator.

Rättningar finns att tillgå. För mer information, se länken nedan.

SR10-136 Mozilla - Sårbarhet i Firefox

2010-07-25T11:01:16Z

Mozilla-utvecklaren Daniel Holbert har identifierat en sårbarhet i den nyligen uppdaterade versionen av Firefox. Sårbarheten finns i den uppdatering som skulle rätta: MFSA 2010-37 i förra veckan.

Den nya och senaste versionen av Firefox är: 3.6.8

OWASP-konferensen nu på video

2010-07-24T17:38:50Z

OWASP (Open Web Application Security Project) är en organisation som arbetar med att höja säkerheten för webbapplikationer. Varje år anordnar de en större konferens i Europa, och i år hade turen kommit till Stockholm. Nu finns videoupptagningar från konferensen tillgängliga på OWASP:s webbplats:

En bra föreläsning är "Busting Frame Busting" av Gustav Rydstedt.

Sitics veckobrev v.29

2010-07-23T08:45:22Z

Nyheter i veckan

Kortfattad sammfattning av SCADA-trojanen Stuxnet (se även "Sitic i veckan")

http://www.auscert.org.au/render.html?it=13084

Symantec spekulerar i vilka som kan ligga bakom Stuxnet

http://www.symantec.com/connect/blogs/hackers-behind-stuxnet

Safaris "AutoFill"-funktion ger bort ditt namn och din adress

http://jeremiahgrossman.blogspot.com/2010/07/i-know-who-your-name-where-you-work-and.html

Google om "full disclosure" kontra "responsible disclosure"

http://googleonlinesecurity.blogspot.com/2010/07/rebooting-responsible-disclosure-focus.html

...och Microsoft pratar om "Coordinated Vulnerability Disclosure (CVD)"

http://blogs.technet.com/b/msrc/archive/2010/07/22/announcing-coordinated-vulnerability-disclosure.aspx

Facebook har nu 500 miljoner användare...

http://www.guardian.co.uk/technology/2010/jul/21/facebook-500-million-users

...vilket får oss att rekommendera följande läsning om riskerna

http://www.cpni.gov.uk/Docs/Online_Social_Networking-Good_Practice_Guide.pdf

Dell skeppade moderkort med skadlig kod i flash-minnet

http://taosecurity.blogspot.com/2010/07/dell-needs-psirt.html

Mozilla och Google erbjuder nu $3,000 respektive $3133.70 per kritisk sårbarhet

http://threatpost.com/en_us/blogs/google-ups-bug-bounty-ante-311370-072010

Hacktivism: Turk publicerade login-uppgifter för drygt 32 000 israeler

http://www.ynetnews.com/articles/0,7340,L-3920999,00.html

Veckans "låter-för-bra-för-att-vara-sant": Lösenord som är både enkla och säkra

http://www.technologyreview.com/computing/25826/

Skräppostare använder nu JavaScript i sina alster

http://www.networkworld.com/news/2010/071910-google-spam.html

Adobe Reader "biffar" upp säkerheten med en sandlåda

http://blogs.adobe.com/asset/2010/07/introducing-adobe-reader-protected-mode.html

IRC som C&C-server (command-and-control server) är såååå ute

http://rsa.com/blog/blog_entry.aspx?id=1684

Identifiering av skadlig kod

http://blogs.cisco.com/security/comments/malware_validation_techniques/

USA i skriande behov av kompetenta säkerhetsarbetare

http://csis.org/files/publication/A%20Human%20Capital%20Crisis%20in%20Cybersecurity.pdf

Ingen skadlig kod i "Apple App Store" under de två år den varit igång

http://www.computerworld.com/s/article/9179424/Apple_App_Store_s_security_track_record_unblemished_after_two_years

Sitic i veckan

SR10-135 HP - OpenView Network Node Manager sårbart
SR10-134 Novell - Teaming sårbart
SR10-133 Mozilla - Flertalet sårbarheter i Firefox, Thunderbird och SeaMonkey
SR10-132 Apple - iTunes sårbar för riggad itpc-URL
SR10-131 Microsoft - Genvägar kan trigga 0-day

Truecrypt 7.0 släppt

SCADA-trojan utnyttjar 0-day i Windows
Damn Vulnerable Linux (DVL) - en distribution gjord för att hackas
DNSSEC - Slutligen är root-zonen signerad

SR10-135 HP - OpenView Network Node Manager sårbart

2010-07-22T07:53:46Z

Med hjälp av HP Network Node Manager kan nätverk administreras och felsökas. Produkten innehåller två sårbarheter som kan leda till exekvering av godtycklig kod. Angriparen kan utföra attacken från en annan maskin och behöver inte vara autentiserad.

Patchar finns att ladda ner från HP:s FTP-server.

Sebastien Renaud på VUPEN samt en anonym säkerhetsforskare upptäckte sårbarheterna.

SR10-134 Novell - Teaming sårbart

2010-07-21T09:14:58Z

Grupprogramvaran Novell Teaming är sårbart för exekvering av godtycklig kod från en extern angripare. Novell har tyvärr inte släppt fler detaljer kring sårbarheten.

Novell har publicerat en uppdateringen som åtgärdar säkerhetshålet:
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5078011.html

Stephen Fewer på Harmony Security upptäckte sårbarheten.

SR10-133 Mozilla - Flertalet sårbarheter i Firefox, Thunderbird och SeaMonkey

2010-07-21T08:40:14Z

Webbläsaren Firefox, e-postklienten Thunderbird och allt-i-ett-klienten SeaMonkey har släpps i nya versioner som rättar till ett antal säkerhetsbrister. En del av sårbarheterna är allvarliga och kan leda till exekvering av godtycklig kod då användaren besöker en riggad webbsida. Andra sårbarheter är mindre allvarliga, exempelvis informationsläckage av URL:er mellan domäner. För en komplett beskrivning av sårbarheterna se Mozillas bulletin.

I följande versioner är säkerhetsbristerna åtgärdade:

Mozilla Firefox 3.6.7 (även 3.5.11)
Mozilla Thunderbird 3.1.1 (även 3.0.6)
Mozilla SeaMonkey 2.0.6

De rättade versionerna finns tillgängliga via den automatiska uppdateringstjänsten samt på Mozillas webbplats.

Mozilla tackar följande personer för att ha upptäckt sårbarheterna: Jesse Ruderman, Ehsan Akhgari, Mats Palmgren, Igor Bukanov, Gary Kwong, Tobias Markus, Daniel Holbert, David Anderson, Johnny Stenback, regenrecht, J23, moz_bug_r_a4, Aki Helin, Yosuke Hasegawa, Vladimir Vukicevic, O. Andersen, Chris Evans och Soroush Dal.