Särskilda råd

SR10-041 Samba - Filrättigheter kan kringgås

2010-03-10T13:50:13Z

Samba implementerar Windows-protokollet SMB/CIFS som möjliggör delning av filer och skrivare över nätverket. Felaktig hantering av flaggan "CAP_DAC_OVERRIDE" gör det möjligt för en angripare att läsa och skriva filer som denne inte har rättigheter till.

Observera att endast installationer som har kompilerats med libcap-stöd är sårbara.

Säkerhetshålet är rättat i version 3.5.1, 3.4.7 samt 3.3.12. Uppdateringar finns att ladda ner från Sambas webbplats.

Sårbarheten rapporterades av Andreas Matthus.

SR10-040 Microsoft - 0-day i Internet Explorer

2010-03-10T08:22:13Z

En så kallad "0-day", dvs en sårbarhet som det ännu inte finns någon rättning till, har upptäckts i Internet Explorer. Denna sårbarhet utnyttjas aktivt i riktade attacker enligt Microsoft.

Sårbarheten möjliggör exekvering av godtycklig kod då användaren besöker en riggad webbsida som angriparen kontrollerar. Exempelvis kan en trojan installeras som ger angriparen möjlighet att fjärrstyra datorn.

Som Sitic tidigare har rapporterat om finns en annan sårbarhet i Internet Explorer som kan medge exekvering av godtycklig kod om användaren övertalas att trycka F1 (hjälp). För detta säkerhetshål finns ännu ingen rättning och Internet Explorer 6, 7 och 8 är sårbara.

En lösning kan vara att uppgradera till Internet Explorer 8, eftersom den inte innehåller sårbarheten. Microsoft rekommenderar att ha "Internet Explorer Protected Mode" påslaget som kan förhindra en attack. Motsvarigheten för Internet Explorer i Windows Server 2003 och Windows Server 2008 heter "Enhanced Security Configuration". En annan lösning som ökar skyddet är att sätta "Internet and Local intranet security zone" till "hög".

Denna information har även gått ut som ett Blixmeddelande. Sitics förstasidan innehåller formuläret för att prenumerera på Sitics blixtmeddelanden.

SR10-039 Microsoft - Windows-uppdateringar för mars

2010-03-09T20:22:15Z

Mars månads uppdateringar finns nu tillgängliga via Windows Update. Sju säkerhetshål i Excel och ett i Movie Maker är åtgärdade.

Följande sårbarheter är rättade:

MS10-017 Excel ("viktig"): Omfattar sju stycken sårbarheter som alla kan medge exekvering av godtycklig kod om ett riggat Excel-dokument öppnas. Det går att komma runt vissa av sårbarheter genom att göra ändringar i registret men enklast, säkrast och mest heltäckande är en uppgradering.
MS10-016 Movie Maker ("viktig"): En extern angripare kan utnyttja sårbarheten genom att få användaren att öppna en riggad projektfil (slutar på ".mswmm"), och då kan godtycklig kod från angriparen exekveras. Applikationerna Movie Maker och Microsoft Producer 2003 innehåller säkerhetshålet, och för Producer finns ingen uppdatering utan användaren måste ladda ner en fix eller följa råden som finns beskrivna i bulletinen. Windows Live Movie Maker i Vista och Windows 7 är inte sårbar.

Microsoft har gett de båda bulletinerna en etta i "exploitability index", vilket innebär att det är troligt att stabil och fungerande kod som utnyttjar sårbarheterna kan implementeras.

Microsoft tackar följande personer för att ha upptäckt sårbarheterna: Nicolas Joly från VUPEN, Sean Larsson från VeriSign iDefense Labs samt Damián Frizza från Core Security Technologies.

Observera att sårbarheten KB981169 i Internet Explorer som Sitic tidigare har rapporterat om inte har rättats.

"Microsoft Security Response Center"-bloggen innehåller ett utförligt inlägg med exempelvis videoklipp om uppdateringen:
http://blogs.technet.com/msrc/archive/2010/03/09/march-2010-security-bulletin-release.aspx

SR10-038 Apache - Flertalet sårbarheter i Apache

2010-03-08T15:14:58Z

Ett flertal sårbarheter har upptäckts i Apache HTTP Server, vilka har åtgärdats i version 2.2.15. Det allvarligaste säkerhetshålet finns i modulen mod_isapi, som implementerar Internet Server extension API på Windows-plattformen. Genom att skicka ett riggat HTTP-anrop kan modulen laddas ur minnet men med hängande pekare vilka kan utnyttjas för att exekvera godtycklig kod.

Den nya versionen rättar även två sårbarheter i mod_ssl ("TLS renegotiation") samt en i mod_proxy_ajp.

Sårbarheterna upptäcktes av Brett Gervasoni (Sense of Security Labs), Joe Orton, Ruediger Pluem, Hartmut Keil, Niku Toivola, Philip Pickett, samt Jeff Trawick.

SR10-037 Microsoft - Sårbarhet i VBScript kan tillåta fjärrexekvering av kod

2010-03-02T08:53:00Z

En sårbarhet har upptäckts i VBScript som kan tillåta fjärrexekvering av kod. Genom att lura en användare att besöka en hemsida och trycka på F1 i en speciellt riggad dialogruta kan en angripare exekvera godtycklig kod med samma rättigheter som användaren.

Sårbarheten påverkar Internet Explorer 6, 7 och 8.

En temporär lösning är att avaktivera "active scripting" i Internet Explorer eller ändra rättigheterna på winhlp32.exe enligt instruktioner i Microsofts säkerhetsmeddelande.

Sårbarheten upptäcktes av Maurycy Prodeus.

SR10-036 Adobe - Sårbarhet i Adobe Download Manager

2010-02-24T10:14:18Z

Sårbarheten beror på att "Adobe Download Manager" inte på ett tillförlitligt sätt verifierar programvara som laddas ner och exekveras. En angripare kan potentiellt utnyttja sårbarheten för att exekvera godtycklig kod på ett sårbart system.

"Adobe Download Manager" ska normalt avinstallera sig själv vid nästa omstart efter det att Adobe-programvaran är installerad. Adobe rekommenderar dock användare att verifiera att så är fallet.

Användare som har laddat ner "Adobe Flash Player" eller "Adobe Reader" för Windows kan verifiera om dom är sårbara eller inte genom att följa instruktionerna från Adobe: http://www.adobe.com/support/security/bulletins/apsb10-08.html

SR10-035 IBM - Sårbarhet i IBM WebSphere

2010-02-24T09:55:00Z

Sårbarheten beror på ett fel i hanteringen av indata i sökfältet för "Portal Portlet Palette". En angripare kan injicera kod som sedan exekveras i en annan besökares webbläsare.

För mer information och rättningar, se länkarna nedan.

SR10-034 Symantec - Ett flertal produkter sårbara

2010-02-18T15:30:52Z

Tre sårbarheter har upptäckts i produkter från Symantecs.

Den första sårbarheten drabbar Symantec AntiVirus, Symantec Client Security och Symantec Endpoint Protection. Sårbarheten som beror på en brist i "on-demand scanning"-funktionaliteten möjliggör för att angripare att kringgå avsökning. För att sårbarheten skall gå att utnyttja måste "Tamper Protection" vara deaktiverat.

Den andra sårbarheten rör N360, Norton Internet Security, Norton AntiVirus, Norton SystemWorks, Norton Confidential och Symantec Client Security. Problemet grundar sig i en otillräcklig indatakontroll i SYMLTCOM.dll som kan utnyttjas för att utföra en buffertöverflödning. Sårbarheten kan medge exekvering av godtycklig kod i med utgångspunkt i den drabbade användarens webbläsare. Dock går sårbarheten endast att utnyttja mot en specifik domän.

Den tredje sårbarheten drabbar Symantec AntiVirus och Symantec Client Security. Symantec Client Proxy, CLIproxy.dll, som finns integrerad i äldre versioner av Symantec AntiVirus and Symantec Client Security, innehåller en buffertöverflödessårbarhet. Sårbarheten kan medge exekvering av godtycklig kod.

SR10-033 Cisco - Ett flertal produkter sårbara

2010-02-18T10:09:53Z

Cisco har släppt tre säkerhetsbulletiner. Bulletinerna rör Cisco ASA 5500 Series Adaptive Security Appliances, Cisco Security Agent och Cisco Firewall Services Module (FWSM).

Cisco ASA 5500 Series Adaptive Security Appliances är sårbar för en tillgänglighetsattack vid hantering av en TCP, SIP, SCCP, DTLS och IKE. Cisco ASA 5500 är även sårbar vid användningen NTLMv1 något som möjliggör för en angripare att kringgå autentisering.

Cisco Security Agent är sårbar för en s.k. "directory traversal", SQL-injektion och en tillgänglighetsattack. Versioner 5.1, 5.2 och 6.0 är sårbara för SQL-injektionen, version 6.0 för "directory travelsal" och 5.2 för tillgänglighetsattacken.

Cisco FWSM för Cisco Catalyst 6500 Series Switches och Cisco 7600 Series Routers är sårbar vid hantering av SCCP-meddelanden. Sårbarheten kan utnyttjas i en tillgänglighetsattack.

SR10-032 Mozilla - Sårbarheter i flera produkter

2010-02-18T10:01:24Z

Totalt är det fem sårbarheter som rättas i Mozilla Firefox och Mozilla SeaMonkey samt tre sårbarheter som rättas i Mozilla Thunderbird.

Sårbarheterna kan bland annat utnyttjas för så kallade "cross-site-scripting"-attacker och för att orsaka minneskorruption. Vid ett effektivt utnyttjande kan sårbarheterna medge godtycklig kodexekvering och en angripare kan skaffa sig samma rättigheter på systemet som den sårbara applikationer har.

Sårbarheterna är rättade i följande versioner:

Firefox 3.6
Firefox 3.5.8
Firefox 3.0.18
Thunderbird 3.0.2
SeaMonkey 2.0.3

För mer information och programrättningar, se nedan.

SR10-031 VMware - Sårbarheter i ESX och ESXi

2010-02-17T16:04:28Z

Ett stort antal programrättningar har släppts till VMware ESX och ESXi. Programrättningarna åtgärdar bland annat säkerhetsbrister i en rad komponenter såsom libxml2, python, net-snmp och BIND. Dessa rättningar är märkta "SECURITY" av VMware.

Utöver rena säkerhetsbrister har en rad andra brister även åtgärdats (märkta "CRITICAL" av VMware).

SR10-030 Adobe - Reader och Acrobat sårbart

2010-02-17T09:48:00Z

Två sårbarheter har upptäckts i Adobe Reader och Acrobat.

Michael Yong Park har upptäckt en sårbarhet som drabbar såväl Flash som Reader och Acrobat. Brister i "domain sandbox" kan utnyttjas för att utföra icke-auktoriserade "cross-domain requests".

Microsoft Vulnerability Research Program (MSVR) har upptäckt en sårbarhet i Adobe Reader och Acrobat som potentiellt kan utnyttjas av en angripare för att ta över ett sårbart system.

Uppdateringar finns att tillgå från leverantören.

SR10-029 RSA - SecurID WebID "Cross Site Scripting" sårbarhet

2010-02-12T15:11:58Z

RSA SecurID är sårbart för en "cross-site scripting"-attack på grund av felaktig hantering av inmatningar till WebID. Detta kan leda till olika typer av attacker på det sårbara systemet. Observera att denna produkt inte supportas av leverantören längre och därmed finns det ingen leverantörsrättning att tillgå.

SR10-028 Google - Sårbarheter i Chrome

2010-02-12T12:46:10Z

Sex sårbarheter i Google Chrome har upptäckts. De kan användas av en angripare för att komma över känslig information eller för att kompromettera det sårbara systemet. För ytterligare information se länk nedan.

SR10-027 Adobe - Säkerhetsuppdateringar för Flash Player tillgängliga

2010-02-12T10:04:54Z

Adobe Flash Player and AIR sårbara för en "cross-domain scripting" attack. En angripare kan använda denna sårbarhet för att komma över känslig information eller genomföra andra typer av attacker.