En PC & Nätverksteknikers tankar

Microsoft har släppt en säkerhetsbulletin för maj månad som berör Office-programmet Powerpoint. Bland annat rättas SR09-057, samt en rad andra allvarliga sårbarheter som kan leda till exekvering av godtycklig kod på det lokala systemet. Flera programrättningar ersätter tidigare rättningar i MS08-051.

Påverkade versioner:

• Microsoft Office 2000 Service Pack 3
• Microsoft Office XP Service Pack 3
• Microsoft Office 2003 Service Pack 3
• Microsoft Office 2007 System Service Pack 1
• Microsoft Office 2007 System Service Pack 2
• Microsoft Office 2004 for Mac
• Microsoft Office 2008 for Mac
• Microsoft Works 8.5
• Microsoft Works 9.0

Microsofts har släppt fyra stycken säkerhetsbulletiner för februari månad. Två stycken klassificeras av Microsoft som "kritiska" och två som "viktiga".

Nedan följer en beskrivning av säkerhetshålen som rättas med februari månads säkerhetsbulletiner och finns nu tillgängliga via Windows Update.

MS09-002 Internet Explorer ("kritisk"):

Säkerhetsuppdateringen rättar två sårbarheter i Internet Explorer.

• En angripare kan utnyttja sårbarheterna genom lura användare med en sårbar version av Internet Explorer att besöka en specialkonstruerad webbplats. Problemen är ospecificerade men finns vid användandet av ett sedan tidigare borttaget objekt och vid hanterandet av CSS-filer (Cascading Style Sheets). Vid ett effektivt utnyttjande kan angriparen exekvera godtycklig kod på användarens system och det sker med samma rättigheter som den inloggade användaren besitter.
  

• Den första sårbarheten går att utnyttja genom att ett specialkonstruerat meddelande i TNEF-format (Transport Neutral Encapsulation Format) bearbetas av en sårbar Exchange-server. En angripare kan till exempel specialkonstruera ett e-postmeddelande i TNEF-format och skicka till en sårbar server. Vid ett effektivt utnyttjande av denna sårbarhet kan en angriparen ta full kontroll över det drabbade systemet och erhålla samma rättigheter som tjänsten för Exchange Server har.

• Den andra sårbarheten kan medge en tillgänglighetsattack om ett specialkonstruerat MAPI-kommando skickas till en sårbar Exchange-server. Vid ett effektivt utnyttjande kan tjänsten "Microsoft Exchange Server System Attendant" och andra tjänster som använder sig av "EMSMDB32" (Electronic Messaging System Microsoft Data Base, 32 bit build) bli otillgängliga.
  

• Sårbarheten beror på ett fel i hur Microsoft SQL Server hanterar parametrar i "sp_replwritetovarbin()". Sårbarheten kan utnyttjas av en angripare som har åtkomst till en sårbar SQL-server genom att skicka ett specialkonstruerat argument till den sårbara proceduren.
  

• Sårbarheterna går att utnyttja med hjälp av en specialkonstruerad Visio-fil. Vid ett effektivt utnyttjande kan sårbarheterna leda till att minnet blir korrupt och godtycklig kodexekvering kan ske på det sårbara systemet. En angripare kan på så sätt skaffa sig samma rättigheter på systemet som den drabbade användaren har.
  

Microsofts säkerhetsbulletiner för december månad finns nu tillgängliga via Windows Update. Det är totalt åtta stycken säkerhetsbulletiner varav sex stycken betecknas som "kritiska" och två stycken som "viktiga".

MS08-071 Microsoft GDI ("Kritisk"):
Säkerhetsuppdateringen täpper till två säkerhetshål i GDI (Graphics Device Interface). En angripare kan utnyttja sårbarheterna genom att specialformatera en WMF-fil och sedan på något sätt lura en användare att köra den.

Orsaken till sårbarheterna beror bland annat att på brister i beräkningar av siffror samt hanteringen av filstorleksparametrar i WMF-filer.

Sårbarheterna kan utnyttjas till att köra godtycklig kod på det sårbara systemet.

Microsoft tackar följande personer för upptäckten av sårbarheterna:
Jun Mao, VeriSign iDefense Labs
Juan Caballero,Bitblaze group at Carnegie Mellon University

MS08-075 Windows Search ("Kritisk"):
Säkerhetsuppdateringen täpper till två säkerhetshål i Windows Search. Sårbarheterna kan utnyttjas genom att en angripare specialformaterar en sök-fil eller en sök-URL och sedan lurar en användare att köra filen.

Orsaken till sårbarheterna beror bland annat att på brister vid sparande av en specialformaterad sök-fil samt brister i hanteringen av systemanrop till "search-ms protocol handler"

Sårbarheterna kan utnyttjas till att köra godtycklig kod på det sårbara systemet.

Microsoft tackar följande personer för upptäckten av sårbarheterna:
Andre Protas, eEye Digital Security
Nate McFeters

MS08-073 Internet Explorer ("kritisk"):
Den kumulativa säkerhetsuppdateringen täpper till fyra säkerhetshål i Internet Explorer. Sårbarheterna kan utnyttjas av en angripare som lurar en användare att besöka eller klicka på en länk till en specialformaterad webbsida.

Orsaken till sårbarheterna beror bland annat att på hur IE hanterar borttagna objekt, inbäddade objekt, vissa navigeringsmetoder samt oanvänt minne i vissa situationer.

Sårbarheterna kan utnyttjas till att köra godtycklig kod på det sårbara systemet.

Microsoft tackar följande personer för upptäckten av sårbarheterna:
Carlo Di Dato
Brett Moore, TippingPoint och the Zero Day Initiative
Chris Weber, Casaba Security
Jun Mao, Verisign iDefense Labs

MS08-070 Visual Basic 6.0 ("kritisk"):
Säkerhetsuppdateringen täpper till sex säkerhetshål i Active X-kontroller för Visual Basic Runtime Extended Files. Sårbarheterna kan utnyttjas av en angripare som lurar en användare att besöka eller klicka på en länk till en specialformaterad webbsida.

Orsaken till sårbarheterna beror bland annat att på brister i hur Active X-kontrollerna:

1. DataGrid
2. FlexGrid
3. Hierarchical FlexGrid
4. Windows Common
5. Charts
6. Masked Edit

Sun har släppt uppdateringar till Java. Ett stort antal sårbarheter har upptäckts som kan utnyttjas för bland annat att stjäla information, krascha applikationer, kringgå säkerhetsmekanismer och potentiellt exekvera godtycklig kod.

Påverkade versioner:

• JDK och JRE 6 tidigare än Update 11
• JDK och JRE 5.0 tidigare än Update 17
• SDK och JRE tidigare än 1.4.2_19
• SDK och JRE tidigare än 1.3.1_24

Det är hög tid att installera uppgraderingen MS08-067, som släpptes för en månad sedan. Flera maskvarianter, exempelvis W32/Conficker.worm, utnyttjar hålet aktivt. Det är ännu endast Windows 2000 som är drabbat.

Då masken har infekterat ett system laddar den ner ytterligare elak kod. För att sprida sig installeras en webbserver som lyssnar på slumpmässiga portar. Därefter scannar masken efter sårbara system som kan ladda ner en kopia av masken från det infekterade systemets webbserver.

Jag rekommenderar följande skydd:

1. Installera uppdateringen MS08-067 som finns tillgänglig på Windows Update.
2. Blocka TCP-portarna 139 och 445 i brandväggen.

Mozilla har släppt uppdateringar till Firefox version 2 och 3 samt till SeaMonkey, en uppdatering av Thunderbird är att vänta. Uppdateringarna rättar ett flertal brister i ovan nämnda produkter.

Vid ett effektivt utnyttjande kan sårbarheterna bland annat utnyttjas för att samla in känslig information och för att exekvera godtycklig kod på ett sårbart system.

1. Firefox 2 har uppdaterats till version 2.0.0.18. För att läsa mer om respektive rättning, se Mozillas beskrivning: http://www.mozilla.org/security/known-vulnerabilities/firefox20.html
2. Firefox 3 har uppdaterats till version 3.0.4. För att läsa mer om respektive rättning, se Mozillas beskrivning: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
3. SeaMonkey har uppdaterats till version 1.1.13. För att läsa mer om respektive rättning, se Mozillas beskrivning: http://www.mozilla.org/security/known-vulnerabilities/seamonkey11.html
4. Thunderbird kommer att uppdateras till version 2.0.0.18. Information om rättningarna kommer att finnas här: http://www.mozilla.org/security/known-vulnerabilities/thunderbird20.html

• Firefox 2 - versioner tidigare än 2.0.0.18
• Firefox 3 - versioner tidigare än 3.0.4
• SeaMonkey - versioner tidigare än 1.1.13
• Thunderbird - versioner tidigare än 2.0.0.18

Som brukligt släpper Microsoft uppdateringar den andra tisdagen i varje månad. Elva stycken säkerhetsuppdateringar släpps denna gång varav fyra betecknas som "kritiska". Bland annat så innehåller Internet Explorer och Excel kritiska säkerhetshål.

Microsoft varnar även för kod som utnyttjar ett av säkerhetshålen redan har publicerats på internet.

Förutom Microsoft släpper även Oracle, säkerhetsuppdateringar imorgon tisdag. Oracles databas, WebLogic och PeopleSoft Enterprise CRM är några produkter som omfattas. Totalt är det 36 stycken säkerhetsuppdateringar.

På "SANS Internet Storm Center" skriver Marcus H. Sachs att flera personer har hört av sig efter att ha fått falska e-postmeddelanden. Avsändaren ser ut att vara från Microsoft och i meddelandet uppmanas man att installera en kritisk säkerhetsuppdatering som är bifogad med brevet.

Subject: Security Update for OS Microsoft Windows
From: "Microsoft Official Update Center"

Dear Microsoft Customer,

Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.

Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.

Since public distribution of this Update through the official website http://www.microsoft.com would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.

As your computer is set to receive notifications when new updates are available, you have received this notice.

In order to start the update, please follow the step-by-step instruction:
1. Run the file, that you have received along with this message.
2. Carefully follow all the instructions you see on the screen.

If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.

We apologize for any inconvenience this back order may be causing you.


Thank you,

Steve Lipner
Director of Security Assurance
Microsoft Corp.

E-postmeddelandet har även, enligt skribenten på SANS, en legitim PGP-signatur, och ser ut på detta sätt:

-----BEGIN PGP SIGNATURE-----
Version: PGP 7.1

3L0SDPQYESHKTVB7P898LE266163YL
9LZQ6AU3LYK9JFM85HDX4S5FG0PEUY5HXP0
31Q8WAOREI4H0A7OF4UDTOG8HAXPAZMV91DI6B8XJEQ0636ND3XAWTCOOSNLIGHUN
ZSDHKKLZ099I6Y03BO91DGUTQMMFT0CWMCZQ4G0R0EYMNN199IEG0PKA6CE3ZPAB6
EJ4UN52NIIB4VF78224S7BCNFH3NP9V91T66QV0RKA2KOG0RA0EUM5VY17P41G016
I2YU34EL9XJQGS7C5GMDU4FJUIC3M3ZIAU6==
-----END PGP SIGNATURE-----

VMware har släppt uppdateringar till ett stort antal produkter. Uppdateringarna åtgärdar säkerhetsbrister så som informationsläckage, eskalering av rättigheter och potentiell kodexekvering.

För mer specifik information läs VMware's säkerhets meddelande.

Påverkade versioner:

• VMware Workstation 6.0.4 och tidigare
• VMware Workstation 5.5.7 och tidigare
• VMware Player 2.0.4 och tidigare
• VMware Player 1.0.7 och tidigare
• VMware ACE 2.0.4 och tidigare
• VMware ACE 1.0.6 och tidigare
• VMware Server 1.0.6 och tidigare
• VMware ESX 3.0.3 (utan rättningarna ESX303-200808404-SG, ESX303-200808403-SG, ESX303-200808406-SG)
• VMware ESX 3.0.2 (utan rättningarna ESX-1005109, ESX-1005113, ESX-1005114)
• VMware ESX 3.0.1 (utan rättningarna ESX-1005108, ESX-1005112, ESX-1005111, ESX-1004823, ESX-1005117)

Ett antal säkerhetsproblem har rapporterats i Opera, som kan utnyttjas av illasinnade personer för att utföra kapningar och "cross-site scripting" attacker, kringgå vissa säkerhetsrestriktioner, avslöja potentiellt känslig information, eller kan äventyra en användares dator.

1) Ett ospecificerat fel föreligger när Opera körs som en protokollhanteraren. Detta kan utnyttjas för att orsaka en krasch och potentiellt exekvera godtycklig kod.
OBS! Denna säkerhetsbrist påverkar bara Opera för Windows.

2) Problemet är att en webbsida kan ändra adressen ramar från andra webbplatser öppnas i ett popup-fönster. Detta kan utnyttjas för att ladda skadliga innehållet i en ram av en betrodd webbplats.

3) Ett ospecificerat fel kan utnyttjas för att utföra "cross-site scripting" attacker. Ingen ytterligare information är tillgänglig.

4) Ett fel finns i bearbetningen av anpassade genvägar och meny kommandon. Detta kan utnyttjas för att exekvera applikationer med potentiellt farliga parametrar, skapad av icke initierats minne.

En lyckad exploatering kan möjliggöra genomförandet av godtycklig kod, men det krävs att en användare luras att ändra genvägar eller menyn filer.

5) Ett fel finns rapporteringen av säkra webbplatser. Detta kan utnyttjas för att bestämma rapportering av en osäker webbplats som säkra genom att inkludera en ram med innehåll från en säker webbplats.

6) Ett fel föreligger när en webbsida kontrollerar om den länkar till en lokal fil. Detta kan utnyttjas för att länka till lokala feed källor och kan avgöra om en fil är närvarande i det lokala systemet.

7) Ett fel finns vid behandling av förfrågningar av nyhets prenumeration. Detta kan utnyttjas för att förändra adressfältet till adressen för den skadliga webbsida och vilseleda en användare.

Lösning:
Uppdatera till den senaste versionen.

Det var inte länge sedan Apple släppte en uppdatering till iPhone, men efter fortsatta klagomål på att vissa funktioner är långsamma och program fortfarande kraschar har man nu släppt en ny uppdatering.

Huruvida uppdateringen löser problemen med 3G-täckning är ännu oklart. En hel del användare rapporterar om bättre täckning medan många andra säger att täckningen fortfarande är mycket dålig.

De flesta verkar dock vara överens om att iPhone överlag känns mycket snabbare, som det oftast brukar bli efter nya uppdateringar.

Igår släppte Microsoft totalt 11 nya säkerhetsuppdateringar för Windows och Microsoft Office. Av dessa är 6 uppdateringar klassade som kritiska och 5 är klassade som viktiga.

Fokuseringen av de åtgärdade säkerhetsbristerna ligger till största del i programvaran för i Microsoft Windows, Outlook Express, Windows Mail, Windows Messenger och Microsoft Office.

Om du inte har Windows Vista så kan du ladda hem uppdateringarna via Microsoft Update.

Mer specifikt finns att läsa om uppdateringarna på: Microsoft Security Bulletin

Ett problem som blir allt allvarligare är att de som skriver skadlig kod är så snabba på att utnyttja teknisk information som kommer med uppdateringar att det ibland bara tar ett par timmar innan det finns program som utnyttjar hålen som uppdateringen ska skydda mot. Det innebär att många inte hinner laga sina system innan den skadliga koden sprids.

I ett försök att åtminstone delvis få bukt med problemet har Microsoft nu startat ett program. Active Protections Program, där en del stora leverantörer får förhandsinformation om kommande uppdateringar. De ska då kunna testa sina produkter och se till att de är säkra innan den tekniska informationen om uppdateringen blir offentlig. Till att börja med är leverantörer som IBM, Juniper och 3Com med i programmet och Microsoft räknar med att bjuda in fler leverantörer allt eftersom.

Källa: NetworkWorld

De som följt grafikkortsmarknaden kanske vet att Nvidia hamnat i en del blåsväder under de senaste veckorna. Det var i början av juli som Nvidia meddelade att man hade problem med en stor mängd grafikkretsar på marknaden. Vissa källor hävdade till och med att det kunde det röra sig om samtliga mobila Geforce 8400 och 8600 på marknaden.

• Inspiron 1420
• Latitude D630
• Latitude D630c
• Precision M2300
• Vostro Notebook 1310
• Vostro Notebook 1400
• Vostro Notebook 1510
• Vostro Notebook 1710
• XPS M1330
• XPS M1530

Sun har släppt säkerhetsuppdateringar till ett flertal sårbarheter i Java. De allvarligaste kan utnyttjas för att köra godtycklig kod på det sårbara systemet.

Följande brister har täppts till:
Bristande hantering av XMLdata, att "Same Origin Policy" kan kringgås i Java Runtime Environment. En sårbarhet i JDK/JRE "Secure Static Versioning", samt flera sårbarheter som kan ge förhöjda rättigheter.

• JDK and JRE 6 Update 6 samt tidigare versioner
• JDK and JRE 5.0 Update 15 samt tidigare versioner
• JDK and JRE 5.0 Update 9 samt tidigare versioner
• JDK and JRE 5.0 Update 6 t.o.m. 15
• JDK and JRE 6 Update 3 samt tidigare versioner
• SDK and JRE 1.4.2_17 samt tidigare versioner
• SDK and JRE 1.3.x_22 samt tidigare versioner

Alla användare som kör Zonealarm, drabbades av att de inte kunde komma ut på nätet efter att Microsoft släppt sina säkerhetsuppdateringar i tisdags. Checkpoint har nu släppt en uppdaterad version av sina program som ska göra det möjligt att nå nätet, även efter att du har kört Microsofts senaste uppdatering.

En ny dag, ett nytt gapande hål som påverkar en fullt uppdaterd version av Microsofts Internet Explorer.

Enligt en varning från US-CERT, proof-of-concept utnyttja kod har publicerats för en ny zero-day bugg som kan användas för en mängd angrepp mot Windows-användare som kör IE 6, IE 7, och IE 8 beta 1.

Koden visar hur sårbarheten kan utnyttjas för att kapa en iframe på en legitim plats och fånga upp en persons tangentbords tryckningar. Detta beror på att Internet Explorer inte korrekt begränsar tillgången till en handlings ramar, vilket möjliggör för en angripare att modifiera innehållet i ramar i en annan domän.

Bilden är ett proof-of-concept skapad av forskaren Aviv Raff, som visar Googles startsida i en ram kapad från Microsofts Windows Update. Konsekvensen av säkerhetsbristen är ganska skrämmande...