En PC & Nätverksteknikers tankar

Clickjacking kallas ett nytt sätt att angripa webbläsare. I princip alla populära webbläsare som Microsoft Internet Explorer, Mozilla Firefox, Apple Safari och Google Chrome har rapporterats som sårbara. Säkerhetsbristen bygger på att angriparen kan ta kontroll över vilka länkar din webbläsare ofrivilligt kommer klicka på när en hemsida besöks.

Detta utan att JavaScript är aktiverat. Problemet är också att denna sårbarhet verkar vara väldigt svårt att åtgärda. Den enda säkra webbläsaren just nu, skall vara text-baserade Lynx, enligt de som hittat sårbarheten. Även Firefox med tillägget NoScript rätt konfigurerad ska ge skydd.

Källa: zdnet

Detta är ett inlägg som skiljer sig från mängden, eftersom att jag normalt inte brukar skriva om annat än dator/data relaterade saker. Men detta är ett ämne som ligger mig varmt om hjärtat och jag vill så gärna hjälpa till, och jag hoppas att även ni vill vara med att förbättra tillvaron för våra kommande generationer.

Saken är mycket enkel, allt jag vill är att ni skänker en slant till Barncancer fonden. Enklaste sättet är att klicka antingen på min personliga insamling eller den som går genom Tailsweep.

Cisco har släppt totalt 14 uppdateringar för att reparera olika sårbarheter i sina produkter. Ingen medger exekvering av externa program i dagsläget, men säkerhetsmekanismer i nätverket kan sättas ur spel och risken för DoS attacker (Denial of Service) är stora.

Det är av stor vikt att man uppdaterar sin utrustning.

Källa: Cisco

Säkerhetsföretaget Sophos varnar för att delar av BusinessWeek är preparerad med skadlig kod. Angripare har utnyttjat sig av en SQL-injektion och hundratals sidor på deras rekryteringsportal har infekterats. När man besöker siten, så körs ett skadligt script från en rysk site, vilket gör att datorn riskerar att infekteras.

- BusinessWeek, och många andra företag som drabbats av SQL-injektioner, måste snabbt inte bara ta bort de skadliga scripten, men också försäkra sig om att de inte infekteras igen. Företag vars webbsiter blivit utsatta för en sådan attack rensar ofta bara bort det från databasen, för att bara några timmar senare infekteras igen, säger Graham Cluley på Sophos.

Enligt Sophos så infekteras uppemot 16 000 sidor varje dag, varav de allra flesta är att betrakta som legitima siter, där angriparna fått in den skadliga koden exempelvis genom att utnyttja en sårbarhet.

Källa: Techworld.

När privat e-post från vicepresident kandidaten Sarah Palins Yahoo-konto stals och publicerades blev uppståndelsen stor. Det visar sig dock att även Hotmail och Gmail har samma svaghet som Yahoo när det gäller hur lösenord hanteras.

Reportrar från Computerworld provade försöka lista ut varandras lösenord på just dessa siter. Beväpnade med enbart kännedom om sina kollegors e-postadresser, lyckades dom utan större svårighet ta sig in på kontona hos alla tre e-post leverantörerna.

Att det går så enkelt beror på att återställningen av borttappade lösenord går att göra genom att svara på en privat fråga. Den frågan är tänkt att bara vara känd av den riktiga kontoägaren men kan gå att lista ut.

Frågorna för lösenords återställning brukar vara enkla, som till exempel bilmärke eller namn på husdjur. Känner man till vem offret är kan därför man söka på nätet efter bloggar, sociala nätverk, och liknande för att därigenom hitta information som gör att frågan för återställning går att besvara. Det hela förenklas ytterligare av att rätt svar inte måste skickas till något fördefinierat e-postkonto, utan kan visas direkt på skärmen.

Att den här typen av svagheter får existera beror på att marginalerna för gratis e-post är så försvinnande små, förklarar Adam O’Donnel, teknikansvarig på säkerhetsföretaget Cloudmark. Ett enda telefonsamtal till supporten kan radera ut månader av vinst på en e-postanvändare, avslutar O’Donnel.

Källa: Computerworld/Techworld

Mozilla har publicerat totalt åtta säkerhetsbrister i sin webbläsare Firefox. De två allvarligaste kan potentiellt möjliggöra exekvering av oönskade program. En ny version av Firefox finns tillgänglig för nedladdning via tillverkarens hemsida eller via den inbyggda uppdateringsfunktionen i Firefox.

Påverkade versioner:

• Firefox 3.0.1 och tidigare

Red Hat Enterprise IPA centraliserar hanteringen av användare och rättigheter. Produkten innehåller bland annat en LDAP- och Kerberos-server. En säkerhetsbrist i IPA gör det möjligt för en angripare att komma över huvudlösenordet till Kerberos.

Under installationen sparas huvudlösenordet till LDAP-servern på ett sätt som gör det möjligt för en anonym LDAP-användare att läsa informationen.

Lösning: Uppgradera till den senaste versionen.

Påverkade versioner:

• RedHat Enterprise IPA 1 för RHEL 5 Server

Ytterligare en sårbarhet har upptäckts i Apple QuickTime Player och Apple iTunes som kan medge att godtycklig kod körs eller kraschar applikationen på ett sårbart system. För att utnyttja bristen krävs det att en användare öppnar en speciellt riggad fil.

Det finns redan exempelkod publicerad som visar hur denna säkerhetsbrist kan utnyttjas. Någon rättning för denna säkerhetsbrist finns för tillfället inte.

Påverkade versioner:

• Apple QuickTime Player 7.5.5
• Apple iTunes 8.0
• Även tidigare versioner kan vara sårbara

Apple QuickTime är en mediaspelare som bl.a. ingår i iTunes. Produkten innehåller totalt nio säkerhetsbrister, vilka kan leda till att oönskade program körs då en specialkonstruerad fil öppnas. Bristfällig indatakontroll av exempelvis QTVR-filer (QuickTime Virtual Reality) och PICT-filer (PICTure) är orsaken till säkerhetsbristen.

Lösning:
Uppgradera till QuickTime 7.5.5 där säkerhetsproblemen är åtgärdade. Använd den automatiska uppdateringsfunktionen eller uppgradera manuellt:

* QuickTime 7.5.5 for Windows
* QuickTime 7.5.5 for Leopard
* QuickTime 7.5.5 for Tiger

David Wharton, Paul Byrne (NGSSoftware) och Roee Hay (IBM Rational Application Security Research Group) med flera har upptäckt sårbarheterna.

Observera att även iTunes innehåller sårbarheter, vilka är rättade i iTunes 8.0

Påverkade versioner:
Apple QuickTime Player 7.4.5 eller tidigare

Gabriel Campana, France Telecom, och Laurent Butti, Orange, har upptäckt en sårbarhet i Cisco Secure ACS. Säkserhetsbristen orsakas av bristfällig kontroll av indata i form av EAP-svarspaket.

För att utnyttja sårbarheten kan en angripare specialformatera EAP-paket som sedan skickas till ett sårbart system. Ett effektivt utnyttjande av säkerhetsbristen kan leda till en DoS-attack.


Påverkade versioner:

• Cisco CiscoSecure ACS för Windows 3.1
• Cisco CiscoSecure ACS för Windows 3.2
• Cisco Secure Access Control Server 3.2.0 (1)
• Cisco Secure Access Control Server 3.2.0 (1.20)
• Cisco Secure Access Control Server 3.2.0 (2)
• Cisco Secure Access Control Server 3.2.0 (3)
• Cisco Secure Access Control Server 3.2.1
• Cisco Secure Access Control Server 3.2.2
• Cisco Secure Access Control Server 3.3.0
• Cisco Secure Access Control Server 3.3.0 (1)
• Cisco Secure Access Control Server 3.3.1
• Cisco Secure Access Control Server 3.3.2
• Cisco Secure Access Control Server 4.0
• Cisco Secure Access Control Server 4.0.1
• Cisco Secure Access Control Server 4.1
• Cisco Secure ACS 4.1(1) build 23
• Cisco Secure ACS för Windows 4.1

Flera tillverkare av säkerhetsprogram varnar för AndromedaAV, ett så kallat "antivirusprogram" som snarare ställer till det för användaren än hjälper till att undvika skadlig kod. Den som installerar programmet möts av uppgifter att det finns en rad infekterade filer på datorn. För att råda bot måste man betala en licensavgift, men någon egentlig virus sökning görs inte. Meddelandena man får är oberoende av om systemet egentligen är infekterat eller ej.

Vad programmet mer orsakar för eventuell skada är oklart, men flera andra liknande falska säkerhetsprogram kännetecknas av återkommande popup-fönster och att orsaka instabilitet i datorn. Det finns också möjligheter för angriparen att lägga in malware som trojaner på den drabbades dator.

Även Computer Associates och F-Secure har liknande varningar. Rådet är att vara vaksam mot program som gör reklam via popup-fönster. För den som saknar antivirus program men inte har lust att betala för det finns det flera seriösa och kostnadsfria alternativ, som Avast, AVG och ClamAV.

Källa: Symantec.

Thomas Nielsen, har upptäckt ett flertal sårbarheter i Wireshark. Sårbarheterna kan utnyttjas genom att specialformatera speciella typer av nätverkspaket som skickas till det sårbara systemet. Vid effektivt utnyttjande kan eventuellt valfri kod köras på det sårbara systemet.

Påverkade versioner:

• Wireshark fr.o.m. version 0.9.7 t.o.m. 1.0.2

James Gritton har upptäckt ett flertal sårbarheter i FreeBSDs implementation av 'mount(2)' samt 'nmount(2)'. Sårbarheterna orsakas av att kärnan brister i kontrollen av indata, som skickas i form av argument till de ovanstående kommandona.

En lokal angripare kan utnyttja sårbarheten genom att skicka specialformaterade argument till 'mount(2)' samt 'nmount(2)' och på så sätt köra valfri kod på det sårbara systemet.

Påverkade versioner:

• FreeBSD FreeBSD 7.0-STABLE
• FreeBSD FreeBSD 7.0-RELEASE

Det är Immunitys program DR, Debug Register, som sedan i torsdags finns som öppen källkod. Programmet är ett verktyg för säkerhetstester. Det kan till exempel användas för att dölja bakdörrar och andra former av skadlig kod.

Det som gör DR speciellt är dess förmåga att gräva sig djupt in i en servertjänst och maskera sig själv som en kernel-debugger. Genom att använda en processors inbyggda system för att skapa "interrupts" kan den undvika en del av de spärrar som inneburit stopp för tidigare rootkits som manipulerat operativsystems anropstabeller.

Just den funktionen är intressant eftersom fler och fler Linuxdistributioner härdar sina anropstabeller mot ändringar och program mot rootkits, som chrootkit, och rkhunter aktivt letar efter just den typen av förändringar.

Säkerhetsexperten Joachim Strömbergson menar att det säkert underlättar för dem som vill skapa skadliga program och för de skript-ungar som vill köra dem. Men detta innebär inte slutet för säkerhet på Linux.

- Det finns en massa andra verktyg också. Dessutom måste du ju komma åt att köra ett sånt här program också. Den accessen har inte alla automatiskt, säger Joachim Strömbergson på Informasic.

Källa: The Register

En PC & Nätverkstekniker har blivit nominerad till ett blogg pris, och nomineringen kommer från Kvastens klotterplank.

Här kommer mina sju favorit bloggar:
Mother! Oh God, mother! Blog! Blog!
Engineering Windows 7
Konsum
Allt om XP & Vista
Hurryville - the new place to be
Roberts space
Kunden har (inte alltid) rätt!


Reglerna för detta pris kan läsas på "Kvastens klotterplank"

En sårbarhet har upptäckts i FreeBSDs implementaton av ICMPv6, effektivt utnyttjande kan leda till en blockeringsattack.

Orsaken är bristande kontroll av föreslagen MTU-storlek. En angripare kan kan specialformatera ett ICMPv6 "MTU Too Big message", vilket kan få TCP-stacken i kärnan att krascha.

Påverkade versioner:

• FreeBSD FreeBSD 7.0 -RELEASE
• FreeBSD FreeBSD 7.0 -RELENG
• FreeBSD FreeBSD 6.0 -STABLE
• FreeBSD FreeBSD 6.3 -RELENG

Hanno Böck har upptäckt en säkerhetsbrist i ClamAV. Sårbarheten orsakas av en brist i libclamav/chmunpack.c, som hanterar kontrollen av felaktiga eller korrupta CHM-filer.

En angripare kan utnyttja sårbarheten genom att specialkonstruera CHM-filer, som vid uppackning allokerar en otillåten minnesarea och på så sätt får systemet att krascha.

Påverkade versioner:

• Versioner före 0.94

Googles helt nya webbläsare är sårbar för "carpet-bombing", som kan utsätta Windows-användare för irriterande och riskfyllda attacker.

Bara timmar efter beta-releasen av Google Chrome, så upptäckte forskaren Aviv Raff att han kunde kombinera två säkerhetsbrister:
- ett fel i Apples Safari (WebKit)
- en Java bugg, som diskuterades vid årets Black Hat-konferensen.

Raff har kokat ihop en ofarlig demo av attacken i handling, som visar hur ett Google Chrome användare kan lockas till att ladda ner och starta en JAR (Java Archive) fil som får verkställas utan varning.

I ett proof-of-concept, visar Raff hur en hackare kan lura en användare genom två musklick, att plantera skadlig programvara på Windows-datorer.

Google Chrome's "user-agent" visar att Chrome är faktiskt WebKit 525,13 (Safari 3.1), vilket är en föråldrad och den sårbara versionen av webbläsaren.

Apple fixade "carpet-bombing" problemet med Safari v3.1.2.

För er som i alla fall vill prova webbläsaren så kan man ladda hem den från: Google Chrome.

Klaus Zimmerman, en av de drabbade berättar för The Register att hans inloggning bara slutade fungera förra månaden. I likhet med många andra som drabbats jobbar han inom databranschen och är rimligt bra på att välja lösenord och hålla sin dator ren från skadlig kod. När hans bror berättade att han sett honom online nyligen, fast utan bild och registrerad som boende i Tyskland blev han ännu mer förvånad.

Det mönster som framträder är att samtidigt som användaren tappar kontrollen över sitt Skype-konto börjar pengar dras från deras Paypal-konton till det Skype-konto de just tappat kontrollen över. Trots ihärdiga försök att kontakta Skype och Paypal händer sen inget på flera veckor eller månader. Det enda som kommer tillbaka är automatgenererade svar om att problemet är känt och att företaget arbetar med att lösa det.

Enligt The Register finns sedan juni i år många rapporter om att Paypal-användare upptäckt att de debiterats för Skype-tjänster som de inte beställt. Varken Skype eller Paypal har velat kommentera dataintrången annat än med att de känner till problemen och arbetar på att lösa dem. I Skypes fall är planen att utbilda användarna hur de ska skydda sig.

Hur kontostölderna går till är oklart. Ingen av de drabbade har rapporterat om phishing eller andra former av bedrägeri. Skype krypterar användarnamn och lösenord vid inloggning vilket borde försvåra en man-in-the-middle attack (även kallad Janus-attack).

Den Skype-användare som vill skydda sig kan konfigurera sitt konto så att det inte är möjligt att föra över pengar automatiskt från Paypal eller andra betalningstjänster.

En annan bra idé är att göra back-up av sina kontaktlistor. När Klaus Zimmerman fick tillbaka sitt konto efter lång tid var alla hans kontakter borta. Och han är orolig för vad hans konto kan ha använts till under tiden.
- Kanske någon gång får jag ett elakt mail, som undrar om inte det var jag som gjorde det eller det.

VMware har släppt uppdateringar till ett stort antal produkter. Uppdateringarna åtgärdar säkerhetsbrister så som informationsläckage, eskalering av rättigheter och potentiell kodexekvering.

För mer specifik information läs VMware's säkerhets meddelande.

Påverkade versioner:

• VMware Workstation 6.0.4 och tidigare
• VMware Workstation 5.5.7 och tidigare
• VMware Player 2.0.4 och tidigare
• VMware Player 1.0.7 och tidigare
• VMware ACE 2.0.4 och tidigare
• VMware ACE 1.0.6 och tidigare
• VMware Server 1.0.6 och tidigare
• VMware ESX 3.0.3 (utan rättningarna ESX303-200808404-SG, ESX303-200808403-SG, ESX303-200808406-SG)
• VMware ESX 3.0.2 (utan rättningarna ESX-1005109, ESX-1005113, ESX-1005114)
• VMware ESX 3.0.1 (utan rättningarna ESX-1005108, ESX-1005112, ESX-1005111, ESX-1004823, ESX-1005117)

Forskaren Craig Barth som arbetar vid företaget Devil Mountain Software har gjort en rad tester för att ta reda på hur mycket resurser som betaversionen av Internet Explorer 8, Internet Explorer 7 och Firefox 3.0.1 roffar åt sig. Det visade sig då att IE8 konsumerar 52% mer minne än IE7, och den även använder sex gånger så många trådar som Firefox.

I testet ingick tio olika sajter med varierande innehåll. Siterna öppnades upp i var sin separat flik i webbläsarna, och både Flash och Microsofts Silverlight fanns installerade som tilläggsprogram.

När testerna var slutförda hade IE8 tagit för sig 380 Mb av de 2 Gb som var tillgängliga på testplattformen med Windows Vista, medan IE7 som också ingick i testet la beslag på 250 Mb. Firefox behövde däremot bara 159 Mb. När samma tester kördes under Windows XP så konsumerade varje webbläsare något mindre minne, men IE8 var fortfarande värst.

Barth kontrollerade även hur många processortrådar som webbläsarna behövde, och Firefox nöjde sig då med maximalt 29 stycken medan IE7 krävde upp till 65 stycken. IE8 var återigen värst då den som mest ville ha 171 trådar.

En positiv detalj med IE8 är att det i genomsnitt bara förbrukar 22% av processortiden i Windows XP och 33% i Windows Vista. Motsvarande siffror för Firefox är 33% respektive 48%.

Ett av de vanligaste bedrägerierna just nu är ett falskt program som påstår sig ta bort olika typer av skadlig kod från din dator.

Ett av sätten som det falska anti-malware programmet XP Antivirus sprider sig är falska kommentarer i diskussionsfora på Internet. Det görs på samma sätt som en del skurkar lägger in länkar till sina egna sidor eller andras mot betalning i kommentarerna på bloggar. I XP Antivirus fall går länken till en falsk Google-sida.

Den som besöker länken ser först en "progress bar" som utger sig för att vara ett snällt program som ska kolla din dator mot skadlig kod. Sen ser användaren en välgjord fejk-varning där bakgrunden mörkas precis som i vanliga Windows och varningsrutan presenterar sig som XP Antivirus. Den talar om att det finns skadlig kod och ser riktigt trovärdig ut, för den som inte vet att XP Antivirus inte existeras.

Sen följer olika varningsrutor och små dialogrutor som dyker upp från nedre högra hörnet. Alla ser trovärdiga ut och har små rutor att klicka i. Ett varningstecken är dock att oavsett vad du trycker på kommer du tillbaka till en eller annan sida för att installera programmet eller betala för köpes-varianten. Ett annat varningstecken är att inget seriöst antivisrusföretag skulle trycka ut ett program till en dator utan att först berätta för användaren vad programmet gör och sen fråga om användaren vill ha det.

Filen som laddas ner är i själva verket Trojan-Downloader.Win32.FraudLoad.gen. Enligt Jesper M Johansson finns det förmodligen flera hundra varianter på en server, eller så körs den genom någon form av omvandlare för att försvåra för signaturbaserade skydd att upptäcka den.

Fake-programmet har en lång licenstext (som också ger ledtrådar om att det är fejk - men ytterst få människor läser licenstexter), egen hjälpsida, information om hur buggar kan rapporteras, priser för den fulla versionen anges tydligt och det finns försäkringar om att kreditkorts nummer och andra personuppgifter är skyddade eftersom kommunikationen är krypterad. Skurkarna säljer även support avtal och ett tilläggsprogram kallat FileShredder 2008.

Bedragarna har också skapat en egen version av Windows Security Center som är väldigt likt det legitima Security Center. Båda syns under Mina Program i Start-menyn. Den riktiga heter bara Security Center och dess hjälp-knappar leder till riktiga hjälpsidor. Fake-programmet heter Windows Security Center och dess hjälp-länkar leder till dess egna säljsidor.

Två andra tecken på den elaka koden är att det dyker upp varningsrutor om datorn lämnas i vila ett par minuter. Och texten i de varningsrutor som dyker upp från system-raden i nedre högra hörnet är skriven på dålig engelska. I övrigt är programmets dialogrutor välgjorda både vad gäller språk och form, enligt vad Jesper M Johansson skriver på The Register.

Hans analys visar inte på att programmet försöker installera någon annan form av skadlig kod, fjärrstyra datorn eller stjäla data. Men han skriver att det kan bero på att programmet känner att det befinner sig i en virtuell maskin och då håller tillbaka en del av sina fula trick för att inte underlätta analys.

Novell rapporterar om ett flertal sårbarheter i produkten eDirectory. HTTP-protokollstacken, NDS- och LDAP-tjänsten uppges vara sårbara. Sårbarheterna kan som allvarligast utnyttjas av en angripare för att exekvera godtycklig kod.

Novell har släppt uppdateringen SP3 för att korrigera sårbarheterna.

Påverkade versioner:

• Novell eDirectory 8.8 SP2 och tidigare