Särskilda råd

SR10-142 Apple - Ett flertal sårbarheter i Safari

2010-07-29T08:16:14Z

Apple har släppt uppdateringar som rättar sårbarheter i Safari för Mac OS X och Microsoft Windows. Totalt är det 15 sårbarheter som rättas där de mer allvarliga kan medge godtycklig kodexekvering på ett sårbart system.

För att utnyttja sårbarheterna måste en angripare få en användare att besöka en riggad webbplats eller öppna en specialkonstruerad fil.

För mer information om respektive sårbarhet och uppdateringar, se länkarna nedan.

SR10-141 IBM - Sårbarheter i Lotus Notes

2010-07-28T14:10:00Z

En angripare kan utnyttja sårbarheterna genom att skicka ett e-postmeddelande med en specialkonstruerad bifogad fil till en användare med en sårbar version av Lotus Notes. När användaren öppnar och väljer att visa den bifogade filen så kan angriparen potentiellt exekvera godtycklig kod på användarens dator.

Lotus Notes brister i tolkningen av följande dokumenttyper och specialkonstruerade varianter av dessa kan alltså användas i ovan attack-exempel:

Lotus 1-2-3 Spreadsheet
Microsoft Office Spreadsheet
Microsoft Office Word
Microsoft Word 2.0
OLE document
QuattroPro speed reader
WordPerfect 5

För mer information och rättningar, se länkarna nedan.

SR10-140 Google - Flera sårbarheter i Google Chrome

2010-07-27T14:00:00Z

Google uppdaterar webbläsaren Google Chrome till version 5.0.375.125 och passar på att rätta ett flertal sårbarheter. Informationen om sårbarheterna är bristfällig men bland annat rättas sårbarheter som kan medge informationsläckage och godtycklig kodexekvering.

Uppdaterade versioner finns ute till Linux, Mac, Windows och Chrome Frame.

Följande personer identifierade sårbarheterna:

Michail Nikolaev
sp3x, SecurityReason.com
Jose A. Vazquez
Aki Helin, OUSPG
Google Chrome Security Team (Inferno)

För mer information, se länkarna nedan.

SR10-139 Apple - Sårbarhet i QuickTime Player

2010-07-27T13:32:00Z

Krystian Kloskowski identifierade sårbarheten som är av typen stack-baserad buffertöverflödning. Den existerar i "QuickTimeStreaming.qtx" som inte hanterar indata på ett korrekt sätt.

Sårbarheten kan utnyttjas genom att förmå en användare med en sårbar version av applikationen att besöka en specialkonstruerad webbplats. Vid ett effektivt utnyttjande så kan det vara möjligt att exekvera godtycklig kod med samma rättigheter som den drabbade applikationen har.

Sårbarheten är verifierad i QuickTime 7.6.6 (1671) för Microsoft Windows, men kan även finnas i andra versioner. För tillfället finns ingen rättning att tillgå.

Som en tillfällig lösning kan rättigheterna till "QuickTimeStreaming.qtx" begränsas eller så kan filen döpas om till något annat. Om detta görs så går det inte längre att spela upp strömmande media i QuickTIme, men lokala filer går fortfarande att spela upp.

För mer information, se länkarna nedan.

SR10-138 Symantec - Sårbarhet i Alert Management Service

2010-07-27T08:46:52Z

En extern angripare kan utnyttja sårbarheten genom att skicka specialkonstruerade kommandon till "Intel Alert Handler Service" (hndlrsvc.exe) över TCP-port: 38292. Vid ett effektivt utnyttjande kan godtycklig kod exekveras med SYSTEM-rättigheter på det sårbara systemet.

Symantec "System CenterConsole" med "Alert Management Service" är också sårbart.

I skrivandets stund finns ingen rättning att tillgå. För mer information, se länkarna nedan.

SR10-137 GnuPG - Sårbarhet i GPGSM

2010-07-26T13:39:00Z

Peter Gutmann har identifierat sårbarheten som finns i verktyget GPGSM. Bristen existerar vid hanteringen av certifikat som har fler än 98 SAN (Subject Alternate Names). En angripare kan utnyttja sårbarheten genom att skicka ett meddelade som är signerat med ett riggat certifikat och förmå en användare med en sårbar version av GPGSM att verifiera signaturen.

Vid ett effektivt utnyttjande kan angriparen exekvera godtycklig kod på användarens dator.

Rättningar finns att tillgå. För mer information, se länken nedan.

SR10-136 Mozilla - Sårbarhet i Firefox

2010-07-25T11:01:16Z

Mozilla-utvecklaren Daniel Holbert har identifierat en sårbarhet i den nyligen uppdaterade versionen av Firefox. Sårbarheten finns i den uppdatering som skulle rätta: MFSA 2010-37 i förra veckan.

Den nya och senaste versionen av Firefox är: 3.6.8

SR10-135 HP - OpenView Network Node Manager sårbart

2010-07-22T07:53:46Z

Med hjälp av HP Network Node Manager kan nätverk administreras och felsökas. Produkten innehåller två sårbarheter som kan leda till exekvering av godtycklig kod. Angriparen kan utföra attacken från en annan maskin och behöver inte vara autentiserad.

Patchar finns att ladda ner från HP:s FTP-server.

Sebastien Renaud på VUPEN samt en anonym säkerhetsforskare upptäckte sårbarheterna.

SR10-134 Novell - Teaming sårbart

2010-07-21T09:14:58Z

Grupprogramvaran Novell Teaming är sårbart för exekvering av godtycklig kod från en extern angripare. Novell har tyvärr inte släppt fler detaljer kring sårbarheten.

Novell har publicerat en uppdateringen som åtgärdar säkerhetshålet:
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5078011.html

Stephen Fewer på Harmony Security upptäckte sårbarheten.

SR10-133 Mozilla - Flertalet sårbarheter i Firefox, Thunderbird och SeaMonkey

2010-07-21T08:40:14Z

Webbläsaren Firefox, e-postklienten Thunderbird och allt-i-ett-klienten SeaMonkey har släpps i nya versioner som rättar till ett antal säkerhetsbrister. En del av sårbarheterna är allvarliga och kan leda till exekvering av godtycklig kod då användaren besöker en riggad webbsida. Andra sårbarheter är mindre allvarliga, exempelvis informationsläckage av URL:er mellan domäner. För en komplett beskrivning av sårbarheterna se Mozillas bulletin.

I följande versioner är säkerhetsbristerna åtgärdade:

Mozilla Firefox 3.6.7 (även 3.5.11)
Mozilla Thunderbird 3.1.1 (även 3.0.6)
Mozilla SeaMonkey 2.0.6

De rättade versionerna finns tillgängliga via den automatiska uppdateringstjänsten samt på Mozillas webbplats.

Mozilla tackar följande personer för att ha upptäckt sårbarheterna: Jesse Ruderman, Ehsan Akhgari, Mats Palmgren, Igor Bukanov, Gary Kwong, Tobias Markus, Daniel Holbert, David Anderson, Johnny Stenback, regenrecht, J23, moz_bug_r_a4, Aki Helin, Yosuke Hasegawa, Vladimir Vukicevic, O. Andersen, Chris Evans och Soroush Dal.

SR10-132 Apple - iTunes sårbar för riggad itpc-URL

2010-07-20T11:45:24Z

Apple iTunes, som används bl.a. för att synka iPhone och iPod, är sårbar för en buffertöverflödning vilken kan leda till exekvering av godtycklig kod. En extern angripare kan utnyttja säkerhetsbristen genom att lura användaren att öppna en riggad webbsida som innehåller en specialkonstruerad itpc-URL.

Apple har släppt iTunes 9.2.1, vilken innehåller en rättning av sårbarheten. Den nya versioner kan laddas ner från Apples webbplats: http://www.apple.com/itunes/download/

Clint Ruoho på Laconic Security rapporterade säkerhetshålet.

SR10-131 Microsoft - Genvägar kan trigga 0-day

2010-07-19T13:06:00Z

Microsoft rapporterar att en sårbarhet i "Windows Shell"-modulen kan leda till exekvering av godtycklig kod då en riggad genväg (.lnk-fil) processas. Säkerhetsbristen kan triggas på två sätt då en USB-sticka används:

Då USB-stickan sätts in. Förutsätter att "AutoPlay" är aktiverat.
Då innehållet visas i rotkatalogen av filutforskaren. Observera att andra grafiska filhanterare som visar genvägsikoner också är sårbara, exempelvis Total Commander.

Sårbarheten kan även triggas från andra USB-lagringsenheter, samt utdelade filer via SMB eller WebDAV.

För närvarande finns ingen uppdatering som rättar säkerhetsbristen, men följande kan göras för att skydda sig enligt Microsoft:

Blanka värdet för följande registernyckel: "HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler". Observera att värdet ska blankas, eftersom nyckeln återskapas med standardvärdet om den raderas.
Inaktivera WebClient-tjänsten
Blockera .lnk- och .pif-filer i brandväggen
Tillåt exekvering av binärer (.exe- och .dll-filer) endast från C-disken (se "Uppdatering 2010-07-20")
Slå av "AutoPlay" (se "How to disable the Autorun functionality in Windows")

Sitic rapporterade förra veckan att denna säkerhetsbrist utnyttjas aktivt i riktade attacker mot SCADA-system. Eftersom exempelkod har publicerats finns risk för ytterligare attacker där denna sårbarhet utnyttjas.

VirusBlokAda rapporterade först sårbarheten.

Uppdatering 2010-07-20

Software Restriction Policies (SRP) kan användas för att skydda mot sårbarheten. Med hjälp av SRP kan en Windows-klient konfigureras så att exekvering av binärer endast får ske från C-disken. Mer information: http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/

Uppdatering 2010-07-21

Symantec har publicerat en detaljerad analys över hur Stuxnet installerar sig: http://www.symantec.com/connect/blogs/w32stuxnet-installation-details
Sårbarheten kan triggas från en länk som är inbäddad i ett dokument enligt F-Secure: http://www.f-secure.com/weblog/archives/00001994.html
Microsoft har släppt ett "Fix It"-program, vilket ändrar i registret så att hanteringen av ikoner till .lnk- och .pif-filer inaktiveras. Programmet fungerar även för organisationer med många Windows-installationer då det går att köra utan användarinteraktion. Tänk på att alla genvägsikoner kommer att visas med samma standardikon om fixen installeras. Detta kan vara rätt störande i exempelvis startmenyn. Fixen ska ses som en temporär lösning i väntan på en uppdatering. Nerladdningssida: http://support.microsoft.com/kb/2286198

SR10-130 Novell - Flertalet sårbarheter i Groupwise

2010-07-16T12:42:45Z

Novell Groupwise innehåller ett antal sårbarheter, exempelvis:

Flertalet XSS-sårbarheter (cross-site scripting) som till exempel kan användas för att stjäla en inloggningssession.
WebAccess-komponenten innehåller en sårbarhet av typen stackbaserad buffertöverflödning. En angripare kan exekvera godtycklig kod genom att skicka riggade anrop.
Informationsläckage i WebAccess-komponenten.
Godtyckliga "HTTP-headers" kan läggas till i svaret genom riggade anrop.

Novell Groupwise 8.0 SP2 innehåller rättningar av säkerhetsbristerna, vilken finns att ladda ner från leverantörens webbplats.

Följande personer upptäckte sårbarheterna: Kevin Lynn (George Washington University), Francis Provencher, scriptjunkie, Ty Bailey, Rapid7, Francis Provencher (Protek Research Labs) samt Pat Bergoch (Amerimark).

SR10-129 SAP - Sårbarhet i GUI SAPWADMXHTML ActiveX-komponent

2010-07-16T12:16:01Z

Elazar Broad har upptäckt en sårbarhet i SAP GUI SAPWADMXHTML ActiveX-komponent. Sårbarheten orsakas av brister i hur ActiveX-komponenten (wadmxhtml.dll) hanterar vissa parameterar som används av 'tags'-funktionen.

En angripare kan utnyttja sårbarheten genom att specialformatera HTML-kod och sedan lura användare att besöka den riggade webbsidan.

SAP har satt "kill-bit" för den här komponenten i Patch 17 för SAPGui.

Alternativt kan kan den sättas manuellt, se:

http://support.microsoft.com/kb/24079

SR10-128 ISC - Bind sårbart för DoS-attack

2010-07-16T12:08:22Z

DNS-servern Bind hanterar inte anrop med RRSIG-data korrekt om svaret inte finns i "cache:en", vilket kan leda till att Bind skickar RRSIG-frågor till den auktoritativa DNS-servern i en evighetsloop.

Enligt ISC påverkar troligen inte sårbarheten så många installationer då Bind måste vara konfigurerat på ett specfikt sätt för att vara sårbar.

Buggen är rättad i Bind 9.7.1-P2.

Marco Davids på SIDN upptäckte säkerhetsbristen.