En PC & Nätverksteknikers tankar

Microsofts har släppt fyra stycken säkerhetsbulletiner för februari månad. Två stycken klassificeras av Microsoft som "kritiska" och två som "viktiga".

Nedan följer en beskrivning av säkerhetshålen som rättas med februari månads säkerhetsbulletiner och finns nu tillgängliga via Windows Update.

MS09-002 Internet Explorer ("kritisk"):

Säkerhetsuppdateringen rättar två sårbarheter i Internet Explorer.

• En angripare kan utnyttja sårbarheterna genom lura användare med en sårbar version av Internet Explorer att besöka en specialkonstruerad webbplats. Problemen är ospecificerade men finns vid användandet av ett sedan tidigare borttaget objekt och vid hanterandet av CSS-filer (Cascading Style Sheets). Vid ett effektivt utnyttjande kan angriparen exekvera godtycklig kod på användarens system och det sker med samma rättigheter som den inloggade användaren besitter.
  

• Den första sårbarheten går att utnyttja genom att ett specialkonstruerat meddelande i TNEF-format (Transport Neutral Encapsulation Format) bearbetas av en sårbar Exchange-server. En angripare kan till exempel specialkonstruera ett e-postmeddelande i TNEF-format och skicka till en sårbar server. Vid ett effektivt utnyttjande av denna sårbarhet kan en angriparen ta full kontroll över det drabbade systemet och erhålla samma rättigheter som tjänsten för Exchange Server har.

• Den andra sårbarheten kan medge en tillgänglighetsattack om ett specialkonstruerat MAPI-kommando skickas till en sårbar Exchange-server. Vid ett effektivt utnyttjande kan tjänsten "Microsoft Exchange Server System Attendant" och andra tjänster som använder sig av "EMSMDB32" (Electronic Messaging System Microsoft Data Base, 32 bit build) bli otillgängliga.
  

• Sårbarheten beror på ett fel i hur Microsoft SQL Server hanterar parametrar i "sp_replwritetovarbin()". Sårbarheten kan utnyttjas av en angripare som har åtkomst till en sårbar SQL-server genom att skicka ett specialkonstruerat argument till den sårbara proceduren.
  

• Sårbarheterna går att utnyttja med hjälp av en specialkonstruerad Visio-fil. Vid ett effektivt utnyttjande kan sårbarheterna leda till att minnet blir korrupt och godtycklig kodexekvering kan ske på det sårbara systemet. En angripare kan på så sätt skaffa sig samma rättigheter på systemet som den drabbade användaren har.
  

Det har blivit känt att exploateringskod till en 0-day sårbarhet som påverkar Microsoft Internet Explorer finns att tillgå på Internet. Sårbarheten, som är heap-baserad, orsakas av bristande säkerhet i hanteringen av specialformaterade XML-taggar som refererar till frigjort minne i mshtml.dll.

För att sårbarheten ska kunna utnyttjas så krävs att Internet Explorer 7.x körs på Windows XP eller Window 2003. De bekräftar att sårbarheten har utnyttjats på Internet.

För tillfället finns det inte så mycket information att tillgå kring sårbarheten. Det är viktigt som användare att vara noggrann med vilka sidor man besöker samt vilka länkar man följer.

Microsoft har lagt upp följande säkerhetsråd: Microsoft Security Advisory 961051

Påverkade versioner:

• Microsoft Internet Explorer 7.X

Microsofts säkerhetsbulletiner för december månad finns nu tillgängliga via Windows Update. Det är totalt åtta stycken säkerhetsbulletiner varav sex stycken betecknas som "kritiska" och två stycken som "viktiga".

MS08-071 Microsoft GDI ("Kritisk"):
Säkerhetsuppdateringen täpper till två säkerhetshål i GDI (Graphics Device Interface). En angripare kan utnyttja sårbarheterna genom att specialformatera en WMF-fil och sedan på något sätt lura en användare att köra den.

Orsaken till sårbarheterna beror bland annat att på brister i beräkningar av siffror samt hanteringen av filstorleksparametrar i WMF-filer.

Sårbarheterna kan utnyttjas till att köra godtycklig kod på det sårbara systemet.

Microsoft tackar följande personer för upptäckten av sårbarheterna:
Jun Mao, VeriSign iDefense Labs
Juan Caballero,Bitblaze group at Carnegie Mellon University

MS08-075 Windows Search ("Kritisk"):
Säkerhetsuppdateringen täpper till två säkerhetshål i Windows Search. Sårbarheterna kan utnyttjas genom att en angripare specialformaterar en sök-fil eller en sök-URL och sedan lurar en användare att köra filen.

Orsaken till sårbarheterna beror bland annat att på brister vid sparande av en specialformaterad sök-fil samt brister i hanteringen av systemanrop till "search-ms protocol handler"

Sårbarheterna kan utnyttjas till att köra godtycklig kod på det sårbara systemet.

Microsoft tackar följande personer för upptäckten av sårbarheterna:
Andre Protas, eEye Digital Security
Nate McFeters

MS08-073 Internet Explorer ("kritisk"):
Den kumulativa säkerhetsuppdateringen täpper till fyra säkerhetshål i Internet Explorer. Sårbarheterna kan utnyttjas av en angripare som lurar en användare att besöka eller klicka på en länk till en specialformaterad webbsida.

Orsaken till sårbarheterna beror bland annat att på hur IE hanterar borttagna objekt, inbäddade objekt, vissa navigeringsmetoder samt oanvänt minne i vissa situationer.

Sårbarheterna kan utnyttjas till att köra godtycklig kod på det sårbara systemet.

Microsoft tackar följande personer för upptäckten av sårbarheterna:
Carlo Di Dato
Brett Moore, TippingPoint och the Zero Day Initiative
Chris Weber, Casaba Security
Jun Mao, Verisign iDefense Labs

MS08-070 Visual Basic 6.0 ("kritisk"):
Säkerhetsuppdateringen täpper till sex säkerhetshål i Active X-kontroller för Visual Basic Runtime Extended Files. Sårbarheterna kan utnyttjas av en angripare som lurar en användare att besöka eller klicka på en länk till en specialformaterad webbsida.

Orsaken till sårbarheterna beror bland annat att på brister i hur Active X-kontrollerna:

1. DataGrid
2. FlexGrid
3. Hierarchical FlexGrid
4. Windows Common
5. Charts
6. Masked Edit

Som brukligt släpper Microsoft uppdateringar den andra tisdagen i varje månad. Elva stycken säkerhetsuppdateringar släpps denna gång varav fyra betecknas som "kritiska". Bland annat så innehåller Internet Explorer och Excel kritiska säkerhetshål.

Microsoft varnar även för kod som utnyttjar ett av säkerhetshålen redan har publicerats på internet.

Förutom Microsoft släpper även Oracle, säkerhetsuppdateringar imorgon tisdag. Oracles databas, WebLogic och PeopleSoft Enterprise CRM är några produkter som omfattas. Totalt är det 36 stycken säkerhetsuppdateringar.

Clickjacking kallas ett nytt sätt att angripa webbläsare. I princip alla populära webbläsare som Microsoft Internet Explorer, Mozilla Firefox, Apple Safari och Google Chrome har rapporterats som sårbara. Säkerhetsbristen bygger på att angriparen kan ta kontroll över vilka länkar din webbläsare ofrivilligt kommer klicka på när en hemsida besöks.

Detta utan att JavaScript är aktiverat. Problemet är också att denna sårbarhet verkar vara väldigt svårt att åtgärda. Den enda säkra webbläsaren just nu, skall vara text-baserade Lynx, enligt de som hittat sårbarheten. Även Firefox med tillägget NoScript rätt konfigurerad ska ge skydd.

Källa: zdnet

Forskaren Craig Barth som arbetar vid företaget Devil Mountain Software har gjort en rad tester för att ta reda på hur mycket resurser som betaversionen av Internet Explorer 8, Internet Explorer 7 och Firefox 3.0.1 roffar åt sig. Det visade sig då att IE8 konsumerar 52% mer minne än IE7, och den även använder sex gånger så många trådar som Firefox.

I testet ingick tio olika sajter med varierande innehåll. Siterna öppnades upp i var sin separat flik i webbläsarna, och både Flash och Microsofts Silverlight fanns installerade som tilläggsprogram.

När testerna var slutförda hade IE8 tagit för sig 380 Mb av de 2 Gb som var tillgängliga på testplattformen med Windows Vista, medan IE7 som också ingick i testet la beslag på 250 Mb. Firefox behövde däremot bara 159 Mb. När samma tester kördes under Windows XP så konsumerade varje webbläsare något mindre minne, men IE8 var fortfarande värst.

Barth kontrollerade även hur många processortrådar som webbläsarna behövde, och Firefox nöjde sig då med maximalt 29 stycken medan IE7 krävde upp till 65 stycken. IE8 var återigen värst då den som mest ville ha 171 trådar.

En positiv detalj med IE8 är att det i genomsnitt bara förbrukar 22% av processortiden i Windows XP och 33% i Windows Vista. Motsvarande siffror för Firefox är 33% respektive 48%.

Steven Sinofsky leder utvecklingsarbetet med Windows 7, driver en blogg där han skriver om hur arbetet med det nya operativsystemet fortskrider. I sitt senaste inlägg berättar han ingående om hur utvecklarna arbetar.

Bland annat så avslöjas det att 1000 personer är involverade i projektet och att dessa är indelade i 25 olika grupper. Varje grupp har en given uppgift, och några exempel på uppgifter som de arbetar med är filsystem, Internet Explorer, säkerhet, nätverk och skrivbordsgrafik.

Det finns även ett antal medlemmar i utvecklingsgruppen som arbetar med hela produkten, och de har ansvar för produktplanering, forskning och användbarhet, produktdesign och innehållsutveckling.

Att döma av statistiken för webbläsare, så kan man konstatera att Firefox fortsätter att växa. Den senaste månadens siffror hos Netapplications visar att Firefox har klättrat upp till 20% strecket ett flertal gånger under juli månad. Detta verkar göras på bekostnad av Internet Explorer, som har ramlat ner under 70%.

Den som inte gillar siffror kan i stället finna intresse i att Firefox 3.1 släppts i en första alfaversion. Förutom en mängd uppdateringar finns även några nya funktioner, som inte var klara till lanseringen av 3.0.

Webbutvecklare kan vara glada över att den förbättrade Gecko-motorn nu fått en del CSS 3-funktioner för att lägga skuggor och effekter direkt på text. Dessutom har man bland annat lagt till stöd för olika HTML 5 API.

Vanliga användare lär främst lägga märke till att CTRL+TAB växling mellan webbläsarens flikar har blivit snabbare och mer överskådlig, samt att de nu sorteras efter när de senast använts. Skillnaden ska vara att webbläsaren inte längre renderar om varje sida man bläddrar mellan förrän användaren hittat rätt flik.

Dessutom har det smarta adressfältet, eller "awesome bar", bättrats på med nya filterfunktioner för ännu mer effektiva sökresultat.

Hackare har blivit snabbare på att utnyttja nya sårbarheter i program och system, visar en rapport från IBM. I många fall utförs angrepp redan inom 24 timmar från det att en sårbarhet publicerats. Det är i många fall för snabbt för att verksamheter ska hinna adressera problemet eller ens bli medvetna om saken.

En del av förklaringen till den snabba reaktionstiden tycks vara IT-säkerhetsföretagens agerande. Det tillhör idag praxis att inte bara redovisa upptäckta sårbarheter, utan också tekniska detaljer och även bitar av kod, för att påvisa sårbarhetens äkthet. Detta är något som enligt rapporten kommit att utnyttjas av hackare i allt högre utsträckning.

- De elaka killarna är inte de som aktivt hittar sårbarheter, säger Kris Lamb, verksamhetsansvarig på IBM:s X-Force, och sedan förklarar han att hackare tidigare kunde spendera lång tid på att själva hitta svagheter. Men idag bara behöver bevaka de upptäckter som IT-säkerhetsföretag publicerar.

Att publicera sårbarheter i detalj innan en uppdatering hunnit adressera problemet är något som därmed också lagt grunden för en allt intensivare debatt. Argumenten för att vänta med publicering bygger på att det är säkrare att låta produktutvecklare ta fram en lösning innan sårbarheten görs allmänt känd. Argumenten emot detta går ut på att en detaljerad publicering är ett effektivt sätt att pressa företag till att ta problemet på allvar.

Situationen kompliceras också, enligt rapporten, av att det finns prestige bland IT-säkerhetsforskare i att hitta sårbarheter före någon annan och att detta är något som hackare bevakar. En serie publika dokument från diskuterande forskare kan till exempel ge underlag för hackare att lista ut hur en viss sårbarhet kan utnyttjas redan innan den gjorts officiell.

Rapporten visar även att webbläsare utgör det populäraste målet för hackare idag. I 94% av fallen blev tekniker för angrepp mot webbläsare tillgängliga inom samma dag som sårbarheten publicerades. Det är en ökning från de 79% man uppmätt under 2007. Störst säkerhetsrisk utgör webbläsarnas insticksmoduler, tillägg som ger utökad funktionalitet i läsaren och som ofta utvecklas av tredje part.

Källa: Sydney Morning Herald/TechWorld

En ny dag, ett nytt gapande hål som påverkar en fullt uppdaterd version av Microsofts Internet Explorer.

Enligt en varning från US-CERT, proof-of-concept utnyttja kod har publicerats för en ny zero-day bugg som kan användas för en mängd angrepp mot Windows-användare som kör IE 6, IE 7, och IE 8 beta 1.

Koden visar hur sårbarheten kan utnyttjas för att kapa en iframe på en legitim plats och fånga upp en persons tangentbords tryckningar. Detta beror på att Internet Explorer inte korrekt begränsar tillgången till en handlings ramar, vilket möjliggör för en angripare att modifiera innehållet i ramar i en annan domän.

Bilden är ett proof-of-concept skapad av forskaren Aviv Raff, som visar Googles startsida i en ram kapad från Microsofts Windows Update. Konsekvensen av säkerhetsbristen är ganska skrämmande...

Upphovsmannen till en trojen Nugache som bröt ny mark i botnet kretsar har beslutat att förklara sig skyldiga till i hemlighet infekterar tusentals datorer så att han kunde stjäla deras personuppgifter och inleda attacker mot webbplatser.

Jason Michael Milmont, 19, Cheyenne, Wyoming, medgav att skapa den så kallade Nugache Worm, en trojansk som sprids via AOL Instant Messenger och modifierade Limewire installationsprogram. Trojanen som Milmont skapade, används för att stjäla användarnamn, lösenord och bankkontonummer från dem blivit är smittade.

Nugache hade cirkulerat redan i början av 2006 och skapade en av de första botnets för att använda ett decentraliserat system för att skicka instruktioner till radiostyrda farkoster, enligt säkerhet forskaren Dave Dittrich.

Med tiden har Milmont lagt till nya funktioner Nugache. Ett grafiskt användargränssnitt gjort det enkelt att komma åt infekterade maskiner från sitt hem server. Det lät honom skicka ett kommando till en enda maskin, som sedan överförde kommandot till andra maskiner. Programmet innehöll en Keylogger och kan också kan sniffa känslig information som lagras i Internet Explorer för att skona användare besväret att behöva komma ihåg lösenord för online banker och andra känsliga webbplatser.

Programvaran var osynliga för Windows Task Manager i Windows NT, XP och 2000. Vid varje givet tillfälle Milmont hade någonstans 5000 - 15000 maskiner under hans kontroll.

Enligt en grund som undertecknades av Milmont, han använde hans botnet att lansera distribuerade DoS-angrepp mot en namnlös online företag beläget i Los Angeles. Avtalet fortsatte med att dokumentera hur han använde personlig information han lyfts från hans offer att göda hans plånbok.

Efter att skicka ett kommando som instrueras infekterade maskiner att skicka fångas upp lösenord och annan information, han skulle sortera objekt online och få kontroll över offrens konton genom att ändra adresser och andra detaljer som var förknippade med dem. I april 2007, till exempel, han använde stulna kreditkort information för att göra en $ 1,422 köp från Hinsite Global Technologies och hade ex transporterades till en ledig bostad i den Cheyenne område.

För att hindra offren från att upptäcka sin ordning, Milmont ersättas telefonnummer förknippade med försämrad konton med Skype-nummer som han skapade och köpt med kreditkort uppgifter han hade skördats från hans botnet.

Milmont får max fem år i federalt fängelse och böter på $ 250000. Han är också med på att betala nästan $ 74000 i återlämnande. Milmont har gått med på att visas i federal domstol i Cheyenne, där han kommer att förklara sig skyldiga till en grov förbrytelse avgift. Fallet togs i Los Angeles och undersöktes av FBI.

Ett säkerhetsproblem har rapporterats i Internet Explorer, som kan utnyttjas av illasinnade personer för att kompromettera en användares system. Sårbarheten orsakas på grund av ett ospecificerat fel vid hantering av vissa "metod-samtal" till HTML-objekt. Detta kan utnyttjas till korrumpera minnet via en särskilt utformad webbsida, och på så sätt installera elakartad kod via så kallade "drive-by" installationer och är mycket vanligt förekommande i Internet Explorer.

Bristen klassas som Mycket kritisk av Secunia.

Den tionde juni ska Microsoft genomföra Patch Tuesday. Denna månad väntar sju patchar, varav tre som ansees vara kritiska. Enligt Eweek ska en av de kritiska patcharna täppa till flera sårbarheter i webbläsaren Internet Explorer. De andra två patcharna som klassats som kritiska gälla Bluetooth och DirectX.

Detaljerna är än så länge knapphändiga om de sårbarheter som Microsoft ska täta. Alla de tre kritiska ska öppna för en angripare att köra program på datorn via Internet, dvs Remote Code Execution

Buggen i IE gäller flera olika versioner av webbläsaren, bland andra Windows IE 7 för Windows 2000, XP, Vista, Server 2003 och 2008.

De tre säkerhetsvarningarna som klassats som viktiga gäller sårbarheter i PGM, Active Directory och WINS. De två första kan leda till "Denial of Service" (DoS) och den i WINS låter en angripare tilldela sig själv ökade befogenheter (Privilege Escalation).

Den sista är klassad som enkel och handlar om Kill Bit och öppnar för angripare att köra program på datorn via Internet.

Källa: Eweek

De tidigare problemet med Microsofts Internet Explorer och dess förmåga att inte visa webbsiter enligt standard, har nu fixats i och med att Internet Explorer 8 får så kallad ”standards-compliant”. Något som Microsoft, redan vid första versionen av Internet Explorer, borde ha infört.

Detta kommer nu istället att medföra problem för alla websiter som är optimerade för Internet Explorer 7. Dock har utvecklarna varit smarta och genom att skapa en ny speciell META-tagg så tvingas Internet Explorer 8 att visa sidor som sin föregångare, genom att låtsas att den är IE7 istället.

Så alla ni med Internet Explorer optimerade siter, borde snaras lägga till:
meta equiv="X-UA-Compatible"
content="IE=EmulateIE7"

För er som vill prova Internet Explorer 8 [BETA] så finns den att ladda hem från Microsoft.

Adobe Flash Player innehåller en 0-day* sårbarhet som medger att godtycklig kod exekveras. En angripare skapar en riggad SWF-fil och publicerar den på en webbplats. Då en sårbar klient besöker webbplatsen och exekverar SWF-filen triggas sårbarheten och minst två kinesiska webbplatser har rapporterats utnyttja sårbarheten.

Fram tills en fix för detta är utgiven så kan man tillfälligt inaktivera Flash:

• Internet Explorer: Välj "Verktyg" -- "Hantera tillägg" -- "Aktivera eller inaktivera tillägg...". Leta upp "Shockwave Flash Object" samt "Shockwave ActiveX Control" i listan med tillägg och inaktivera dessa.
  
  
• Firefox: Insticksprogrammet NoScript blockerar förutom Flash även exempelvis JavaScript och pdf-filer. Det är enkelt att lägga till undantag, och programmet ger ett bra skydd mot elaka webbsidor.
  

Påverkade versioner:

• Adobe Flash Player 9.0.124.0
  
• Adobe Flash Player 9.0.115.0

För att kontrollera om Flash kan köras eller versionen på Flash så kan du prova denna länk.

* 0-day betyder att ännu har inga fixar för denna sårbarhet släppts.

Microsoft Internet Explorer är utsatt för en "script-injection" sårbarhet eftersom det inte på ett tillfredsställande sätt kontrollerar användar leverad indata vid utskrift en tabell med länkar.

Angripare kan utnyttja detta problem genom att locka en intet ont anande användare att inleda utskriften samtidigt som du ser en särskilt utformad sida. Lyckad exploits kommer att orsaka skadlig skriptkod att köras i zonen "Lokal dator" i offrets dator.

Internet Explorer 7.0 och 8.0b är utsatta, och andra versioner kan också påverkas.

Rapporter visar att framgångsrika "exploits" i Windows Vista plattformar som kör UAC, kan endast orsaka utlämnandet av information.

ActiveX-kontroller och plugins har länge fått stå ut med att vara ansedd som elaka och potentiella virusbärare - trots sitt stora användningsområde. Men Internet Explorer 8 ämnar ändra på detta, då den nya versionen av Microsofts webbläsare markant kommer att höja säkerheten kring ActiveX-kontroller.

Det första steget som kommer att åtgärdas är att du inte längre kommer att behöva ha administratörsrättigheter för att installera en ActiveX-funktion. På det sättet så kan du installera kontrollen på en lokal användare utan administratörsrättigheter och således minimera den eventuella skada en ActiveX-kontroll med ont uppsåt kan åstadkomma (detta kommer dock inte fungera retroaktivt, utan bara på nya ActiveX-kontroller - och du måste ha Windows Vista eller Server 2008).

Det andra steget, och kanske det absolut mest nödvändiga, är att du kommer att kunna begränsa användningsområdet för en installerad ActiveX-kontroll. I dagens situation är alla kontroller globala - när du väl installerat kontrollen kan vilken internetsida (eller hackare) som helst använda sig utav den. Med IE8 kommer du kunna ställa in vilka sidor som ska få använda sig utav kontrollen. Något som markant förbättrar säkerheten - då användaren själv kan bestämma vilka sajter som han eller hon litar på (denna funktion finns redan idag, men iom IE8 kommer det att bli standard - även om vissa former av plugins, så som flash, kommer att vara tillgänglig för alla internetsidor som standard).

Om du känner att du vill veta mer om säkerheten kring ActiveX-kontroller och Internet Explorer 8, så rekommenderar jag ett besök på Microsofts utvecklarblogg.