eSec Hack-O-Meterhttp://www.esec.dk/hackometer/Info om IT-sikkerheds hændelserMon, 21 May 2012 06:27:13 +0000da-DKSquarespace Site Server v5.11.81 (http://www.squarespace.com/)QuickTime sikkerhedsopdateringPeter Jelver, Teknisk chefMon, 21 May 2012 06:23:24 +0000http://www.esec.dk/hackometer/quicktime-sikkerhedsopdatering.html323105:3401109:16364279Apple har 15. maj 2012 udsendt en sikkerhedsopdatering til QuickTime for Windows og OS X. Der er rettet 17 sårbarheder der kan give remote kodeafvikling ved at besøge websider med ondsindet indhold, så det er tid at afinstallere eller opdatere QuickTime !

http://support.apple.com/kb/HT5261

]]>http://www.esec.dk/hackometer/rss-comments-entry-16364279.xmlSikkerhedsopdateringer fra ApplePeter Jelver, Teknisk chefMon, 14 May 2012 07:51:56 +0000http://www.esec.dk/hackometer/sikkerhedsopdateringer-fra-apple.html323105:3401109:16246317Apple har 7.-9. maj 2012 udsendt sikkerhedopdateringer til Safari, Mac OS X og iOS (iPhone/Pad/Pod).

Der er rettet en række sårbarheder, gennemgående er webkit sårbarheder og spoofing mulighed i Safari.

Nye versioner:

Safari 5.1.7

Mac OS X 10.7.4

Mac OS X 10.6.8 med Security Update 2012-002

iOS 5.1.1

 

http://support.apple.com/kb/HT1222?locale=da_DK

]]>http://www.esec.dk/hackometer/rss-comments-entry-16246317.xmlAmnesty UK Web trojaniseretPeter Jelver, Teknisk chefMon, 14 May 2012 07:42:27 +0000http://www.esec.dk/hackometer/amnesty-uk-web-trojaniseret.html323105:3401109:162462338. og 9. maj 2012 er besøgende til Amnesty Internationals engelske websted blevet forsøgt inficeret med Gh0st trojan. Det er sket gennem indhold som er lagt på websiden gennem hacking. Nogle spor fører til Kina. Besøgende der er inficeret blev ramt gennem en uopdateret Java version. Gh0st er et RAT program der giver angriberen fuld kontrol over den inficerede maskine, så man kan stjæle dokumenter og passwords.

http://www.csoonline.com/article/706328/amnesty-uk-website-hacked-to-serve-lethal-gh0st-rat-trojan

]]>http://www.esec.dk/hackometer/rss-comments-entry-16246233.xmlMicrosoft maj 2012 sikkerhedsopdateringPeter Jelver, Teknisk chefWed, 09 May 2012 07:03:52 +0000http://www.esec.dk/hackometer/microsoft-maj-2012-sikkerhedsopdatering.html323105:3401109:16192128Microsoft har udsendt 7 bulletiner der omfatter 23 sikkerhedsopdateringer tirsdag 8. maj 2012. Få detaljerne ved at følge linkene i tabellen:

MS12-029

Sårbarhed i Word

Microsoft Office 2003 SP3, 2007 SP2 og SP3, Office for Mac 2008 og 2011, Compability Pack SP2 og SP3

Remote kodeafvikling fra ondsindet RTF fil.

Kritisk

MS12-030

6 sårbarheder i Excel

Microsoft Windows mange versioner.

Remote kodeafvikling fra ondsindet Excel fil.

Kritisk

MS12-031

Sårbarhed i Visio

Microsoft Visio Viewer 2010 versioner.

Remote kodeafvikling fra ondsindet Visio fil.

Vigtig

MS12-032

2 sårbarheder i Windows TCP/IP

Microsoft Vista, Windows 7, Server 2008 versioner.

Forøgelse af rettigheder og firewall bypass.

Vigtig

MS12-033

Sårbarhed i Windows Partition Manager

Microsoft Vista, Windows 7, Server 2008 versioner.

Forøgelse af rettigheder for en indlogget bruger.

Vigtig

MS12-034

10 sårbarheder i Office, Sharepoint, ,NET Framework

Microsoft Windows næsten alle versioner.

Bl.a. remote kodeafvikling fra webside med ondsindet TrueType font.

Kritisk

MS12-035

2 sårbarheder i .NET Framework

Microsoft .NET Framework alle versioner.

Remote kodeafvikling fra ondsindet webside.

Kritisk
]]>http://www.esec.dk/hackometer/rss-comments-entry-16192128.xmlAdobe Shockwave Player opdateringAdobe Shockwave Flash OpdateringAdobe Shockwave PlayerOle Schmitto, Adm. direktørWed, 09 May 2012 05:40:31 +0000http://www.esec.dk/hackometer/adobe-shockwave-player-opdatering-1.html323105:3401109:16190823Adobe har frigivet en opdatering til deres Shockwave Player. Adobe foreslår at brugere af Adobe Shockwave Player 11.6.4.634 og tidligere versioner til Windows og Mac opdatere til Adobe Shockwave Player 11.6.5.635. Opdateringer er tilgængelige for Windows og Mac, fra denne link.
Windows brugere kan checke om de har Shockwave installeret ved og checke under kontrol panelet under software. Hvis ikke du har programmet installeret, vil jeg foreslå at du fortsætter uden, så du fremover slipper for og holde dit system opdateret med dette program.
]]>http://www.esec.dk/hackometer/rss-comments-entry-16190823.xmlAdobe Flash Player Object Confusion 0-dayAdobeFlashPluginPeter Jelver, Teknisk chefMon, 07 May 2012 06:22:09 +0000http://www.esec.dk/hackometer/adobe-flash-player-object-confusion-0-day.html323105:3401109:16157572Adobe har 4. maj 2012 udsendt en kritisk sikkerhedsopdatering til Flash Player, der retter en "object confusion" sårbarhed som kan give remote kodeafvikling. Sårbarheden udnyttes allerede i praksis til email bårne angreb mod Windows brugere.

De nye versioner man bør opdatere til er:

  • Windows, Linux og Mac :  Adobe Flash Player 11.2.202.235
  • Android 4.x :  Adobe Flash Player 11.1.115.8
  • Android 3.x og 2.x : Adobe Flash Player 11.1.111.9

Du kan via Qualys Browser check, sikre dig at ALLE plugins er opdateret, og husk og teste alle dine browsere, hvis du har mere end en installeret, Google Chrome bør opdatere sig selv.

Er man i tvivl om hvilken version man egentlig kører som klient kan man se det i "version info" boksen på denne side:

http://www.adobe.com/software/flash/about/

Nærmere beskrivelse af sårbarheden findes her:

http://www.adobe.com/support/security/bulletins/apsb12-09.html

]]>http://www.esec.dk/hackometer/rss-comments-entry-16157572.xmlOracle TNS Poison sårbarhedPeter Jelver, Teknisk chefMon, 30 Apr 2012 06:45:05 +0000http://www.esec.dk/hackometer/oracle-tns-poison-sarbarhed.html323105:3401109:16061310Opdatering 7. maj 2012

Oracle har nu udsendt en opdatering til denne meget omtalte sårbarhed:

http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html

 

Vi har tidligere beskrevet Oracle's Critical Patch Update for April 2012.

"TNS Poison" sårbarheden udløste i forbindelse med denne Oracles patch kreditering af Joxean Koret, der i sin tid havde opdaget "TNS Poison" sårbarheden. Men nu viser det sig at sårbarheden slet ikke er rettet.

Det fremgår af den beskrivelse som Koret udsendte umiddelbart efter Oracle's patch at sårbarheden formentlig er 13 år gammel og blev rapporteret til Oracle i 2008. Det fremgår osse at TNS Poison sårbarheden giver mulighed for remote kodeafvikling og der er PoC kode med i beskrivelsen.

Nogle uldne formuleringer fra Oracle fik Koret til at spørge ind til rettelsen i April 2012 opdateringen, og det viste sig at sårbarheden ikke er fixet. Der var kun tale om en hensigtserklæring !
Der findes altså lige nu en offentlig beskrevet sårbarhed i diverse Oracle versioner, som kan give remote kodeafvikling. Koret's beskrivelse indeholder PoC kode, men heldigvis osse workarounds. Vi anbefaler at benytte disse, hvis man er sårbar.
Årsagen til at Oracle ikke har rettet årsagen er at det angiveligt er for risikabelt at rette i koden på det sted det er nødvendigt !

Se Koret's fremstilling af historien om den 13 år gamle 0-day her:

http://seclists.org/fulldisclosure/2012/Apr/343

]]>http://www.esec.dk/hackometer/rss-comments-entry-16061310.xmlOpenSSL sårbarhederPeter Jelver, Teknisk chefMon, 23 Apr 2012 06:44:31 +0000http://www.esec.dk/hackometer/openssl-sarbarheder-1.html323105:3401109:1595607719. april 2012 udsendte OpenSSL projektet advisory og sikkerhedsopdatering i forbindelse med en ny sårbarhed i OpenSSL, CVE-2012-2110.

OpenSSL er en open-source krypteringspakke der indgår i et hav af applikationer og løsninger, også fra kommercielle leverandører.

Den nye sårbarhed er opdaget af Tavis Ormandy fra Google og giver potentielt mulighed for remote kodeafvikling. Nogle funktioner i koden giver nemlig risiko for memory overflow og kan udnyttes gennem data der behandles i softwaren, f.,eks. udefra kommende X.509 certifikater eller MIME data ifm. email kryptering.

Hold øje med hvornår leverandører der bruger OpenSSL opgraderer, benyttes softwaren direkte er de nye versioner  1.0.1a, 1.0.0i og 0.9.8v.

http://www.openssl.org/news/secadv_20120419.txt

 

]]>http://www.esec.dk/hackometer/rss-comments-entry-15956077.xmlOracle april 2012 sikkerheds opdateringMySQLOracleSUNpatchOle Schmitto, Adm. direktørSun, 15 Apr 2012 13:34:26 +0000http://www.esec.dk/hackometer/oracle-april-2012-sikkerheds-opdatering.html323105:3401109:15854113Oracle har netop udsendt varsel om sikkerheds kvartals opdatering, med frigivelse tirsdag den 17. april 2012. Den vil indeholde 88 sikkerrheds opdateringer, som dækker over 30 produkt linier, inklusiv Oralce databaser server produkter, og inkluderer også opdatering til SUN & MySQL.
En stor del,  33, af opdateringerne er i kategorien kritiske sårbarheder, herunder sårbarheder som kunne give en angriber remote adgang til enheder, uden authentication.
Læs mere detaljeret om opdateringerne her 
]]>http://www.esec.dk/hackometer/rss-comments-entry-15854113.xmlApple's java opdatering fjerner Flashback-malwarenFlashbackJavamalwareOle Schmitto, Adm. direktørFri, 13 Apr 2012 11:03:52 +0000http://www.esec.dk/hackometer/apples-java-opdatering-fjerner-flashback-malwaren.html323105:3401109:15826056Apple har netop frigivet en Java-sikkerhedsopdatering som fjerner de mest almindelige varianter af Flashback-malwaren, og tilgangen må man også sige er lidt uventet, læs artiklen Apple's uventede tilgang til Flashback

Opdateringen konfigurerer også Java-webtilbehøret, så det slår automatisk afvikling af Java-miniprogrammer fra. Brugere kan slå automatisk afvikling af Java-miniprogrammer til igen vha. programmet Java-indstillinger. Hvis Java-webtilbehøret registrerer, at der ikke er afviklet nogen miniprogrammer i en længere periode, slår det Java-miniprogrammer fra igen.

Opdateringen anbefales til alle Mac-brugere, der har installeret Java, og sker enten automatisk, eller via softwareopdaterings menuen oppe i venstre hjørne.

Der findes oplysninger om opdateringen på: http://support.apple.com/kb/HT5242?viewlocale=da_DK

Relateret artikel:  Apple's uventede tilgang til Flashback

]]>http://www.esec.dk/hackometer/rss-comments-entry-15826056.xml