Nyheter från CERT-SE

Orsaken är att vclmi.dll innehåller brister vid hanteringen av JPEG-objekt i DOC-filer, vilket kan orsaka en "heap"-baserad buffertöverflödning med kodexekvering som följd.

SR12-085 OpenOffice.org - Två sårbarheter rättade i version 3.4

2012-05-17T17:42:08Z

Tielei Wang och Kestutis Gudinavicius har rapporterat två sårbarheter i OpenOffice.org.

Orsaken till sårbarheterna listas nedan:

1) Vclmi.dll innehåller brister vid hanteringen av JPEG-objekt i DOC-filer. Detta kan orsaka en "heap"-baserad buffertöverflödning.

2) Libpw innehåller en sårbarhet som orsakas felaktig hantering av Wordperfect-dokument. En angripare kan skriva över godtyckligt minne genom att specialformatera ett dokument i WPD-format.

SR12-084 HP - Business Service Management innehåller allvarlig sårbarhet

2012-05-17T17:02:06Z

David Elze, Daimler TSS, har rapporterat en sårbarhet i HP Business Service Management.

Orsaken till sårbarheten är att applikationen inte förhindrar access till vissa portar, vilket kan tillåta en angripare att ladda upp specialformaterade war-filer till det sårbara systemet.

Vid ett lyckat angrepp kan systemet tas över totalt.

TCP-portarna: 1098, 1099 eller 4444 bör blockeras mot systemet.

SR12-083 Apple - QuickTime, ett flertal sårbarheter rättade

2012-05-16T11:27:36Z

Ett flertal sårbarheter har rättats i Apple QuickTime. En angripare kan utnyttja sårbarheterna för att i allvarligaste fall köra godtycklig kod på det sårbara systemet.

Sårbarheterna listas nedan.

1.) Felaktig hantering av TeXML-filer

2.) Felaktig hantering av textspår

3.) Felaktig hantering av H.264-enkodade filmer

4.) Felaktig hantering av MP4-enkodade filer

5.) En "Off-By-One"-sårbarhet

6.) Felaktig hantering av audio-samples

7.) Felaktig hantering av MPEG-filer

8.) Felaktig hantering av QTMovie-objekt.

9.) Felaktig hantering av MediaVideo-headers i PNG-enkodade videos

10.) Felaktig hantering av QTVR-filer

11.) Felaktig hantering av JPEG2000-enkodade filer

12.) Felaktig hantering av RLE-enkodade filer

13.) Felaktig hantering av Sorensen-enkodade filer

14.) Felaktig hantering av "sean atoms"

15.) Felaktig hantering av .pict-filer

16.) Brister i QuickTime.qts vid hanteringen av långa sökvägar

Apple tackar föjlande säkerhetsforskare för rapporteringen av sårbarheterna:

1, 2) Alexander Gavrun via ZDI

3, 12) Luigi Auriemma via ZDI

8) CHkr_D591 via ZDI

10) Alin Rad Pop via ZDI

13) Damian Put via ZDI

14) Tom Gallagher och Paul Bates, Microsoft via ZDI.

15) Rodrigo Rubira Branco, Qualys Vulnerability & Malware Research Labs (VMRL)

16) Tielei Wang, Georgia Tech Information Security Center via Secunia

SR12-082 Google - Stable Channel Update

2012-05-15T20:27:16Z

Google har rättat 20 säkerhetsproblem i webbläsaren Chrome. Sårbarheterna orsakas bland annat av problem med: minneshantering, frigörande av minne, hantering av storlek på indata, felaktiga sökvägar, DoS-sårbarheter samt hantering av vissa typer av länkar.

Sårbarheterna är rättade i version 19 som nu finns att ladda ner från tillverkarens webbsida.

Följande säkerhetsforskare har tackats av Google för upptäckande av sårbarheterna:

Aki Helin, OUSPG
Brett Wilson, Charlie Reis, Chromium Development Community
"psaldorn"
Arthur Gerkis
miaubiz, Google Chrome Security Team
Christian Holler
Hannu Heikkinen
Kostya Serebryany, Evgeniy Stepanov, Google
Haifei Li, Microsoft och MSVR
Mateusz Jurczyk
Gynvael Coldwind

SR12-081 Opera - Sårbarhet rättad i version 11.64

2012-05-14T13:58:54Z

Andrey Stroganov har upptäckt en sårbarhet har i webbläsaren Opera. Orsaken är brister i hanteringen av vissa typer av URL:er, vilket kan leda till att delar av minnet kan skrivas över med godtyckligt data.

En angripare kan utnyttja sårbarheten genom att specialkonstruera en URL som triggar problemet.

Opera har släppt version 11.64 som åtgärdar problemet.

Forensik av Windows Volume Shadow Copies

2012-05-13T05:09:44Z

I Windows Vista och Windows 7 används en tjänst som kallas för Volume Snapshot Service (VSS) för att spara gamla versioner av filer så att de kan återställas. I standardfallet reserveras 15% av diskutrymmet åt VSS, men upp till 30% kan användas. I Windows 7 Home edition kan sparade filerna endast användas till en "system restore", men i Professional-versionen kan användaren gå tillbaka till en viss version av en fil genom att högerklicka på den. Alla filrevisioner sparas dock inte.

Självklart är VSC-filer (Volume Shadow Copies) intressanta då en forensisk analys görs av en disk. Ett problem är att det kan vara svårt att extrahera ut VSC-filer från en "disk image". En lösning beskrivs av Corey Harrell där "Windows 7 iSCSI Initiator" och två VMWare-instanser används. En riktigt smart lösning som underlättar hanteringen av VSC-filer.

För den som är intresserad av VSC kan det vara värt att hålla ett öga på libvshadow-projektet (se nedan).

Mer information:

http://journeyintoir.blogspot.se/2012/05/more-about-volume-shadow-copies.html

http://code.google.com/p/libvshadow/

http://en.wikipedia.org/wiki/Shadow_Copy

Ny version av SIFT

2012-05-12T16:44:22Z

I veckan släpptes SIFT 2.13 (SANS Investigate Forensic Toolkit). SIFT är en Linux-distribution som innehåller en mängd olika verktyg för datorforensik, exempelvis olika versioner av dd och Sleuth Kit. Distributionen finns att ladda ner dels som VMWare-image och som ISO. Notera att nerladdning kräver inloggning.

Mer information

http://computer-forensics.sans.org/community/downloads

CERT-SE:s veckobrev v.19

2012-05-11T08:46:00Z

Nyheter i veckan

Hur väl står dagens krypto- och hashalgoritmer emot tidens tand?

http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html

Placeringen av DNS-rotservrar avspeglar inte användarbasen

http://royal.pingdom.com/2012/05/07/the-very-uneven-distribution-of-dns-root-servers-on-the-internet

Ny domän för säkerhetsnörden: .secure

http://www.darkreading.com/authentication/167901072/security/security-management/240000187/new-i-secure-i-internet-domain-on-tap.html

Analys av den skadliga koden Flashback som drabbat Mac OS X

http://www.symantec.com/connect/blogs/osxflashbackk-overview-and-its-inner-workings

DDoS och politik hör ihop i Ryssland...

http://www.theregister.co.uk/2012/05/10/anonymous_kremlin_ddos_putin/

...vilket spiller över på svenska Bambuser

http://gigaom.com/video/ustream-down-bambuser-ddos/

Dåligt karriärsdrag att spionera på eleverna med hjälp av Facebook

http://www.wired.com/threatlevel/2012/05/principal-spying-on-students/

Nytt "exploitation kit" i vårens modefärg orange

http://blog.webroot.com/2012/05/10/cybercriminals-release-sweet-orange-new-web-malware-exploitation-kit/

Vad Apple kan lära från Microsofts säkerhetsarbete

http://www.zdnet.com/blog/bott/what-microsoft-can-teach-apple-about-security-response/4987

FBI-varning om hotellnät ger läsaren myror i huvudet

http://nakedsecurity.sophos.com/2012/05/10/fbi-hotel-malware-threat/

Analys av en IRC-bot på Android

http://blogs.mcafee.com/mcafee-labs/evolution-of-android-malware-ircbot-for-android

Kommande säkerhetsmekanism i Firefox får blandat mottagande

http://www.securityweek.com/firefox-gets-click-play-plugin-additional-layer-security

Skadlig kod går runt DNS-filtrering genom att använda publika DNS-servrar

http://practicalmalwareanalysis.com/2012/05/08/using-public-dns-servers-to-bypass-dns-filtering/

Datornostalgi: Svenska Hemdatornytt från 80- och 90-talet

http://hemdatornytt.selda.se/

CERT-SE i veckan

SR12-080 Apple - Flertalet sårbarheter i Mac OS X
SR12-079 PHP - Allvarlig säkerhetsbrist rättad i ny version
SR12-078 Adobe - Flertalet produkter sårbara
SR12-077 Microsoft - Windows-uppdateringar för maj
SR12-076 Apple - Uppdatering av iOS
SR12-075 Apple - Lösenordsläckage i Mac OS X
SR12-074 Adobe - 0-day i Flash Player

Microsoft släpper uppdateringar i morgon

SR12-080 Apple - Flertalet sårbarheter i Mac OS X

2012-05-10T06:51:06Z

Apple har släppt "OS X Lion v10.7.4 and Security Update 2012-002" vilken rättar 12 sårbarheter i operativsystemet. Dessutom har Safari uppdaterats.

Exempel på sårbarheter som har åtgärdats:

Login Window: Denna sårbarhet har CERT-SE rapporterat om tidigare i veckan.
curl: En angripare kan dekryptera SSL-skyddad data.
Directory Service: Inloggningsuppgifter kan läcka genom att skicka riggade anrop till servern.
HFS: Montering av riggad "disk image" kan leda till exekvering av godtycklig kod.
ImageIO: Exekvering av godtycklig kod kan ske då specialkonstruerad TIFF-bild öppnas.
libarchive: Riggad arkiv-fil kan leda till exekvering av godtycklig kod.
libsecurity: Riggat X.509-certifikat kan leda till exekvering av godtycklig kod, vilket kan länkas från en webbsida.
LoginUIFramework: Gästinloggning möjlig utan att lösenord krävs.
PHP: Flertalet sårbarheter rättade.
QuickTime: Riggade MPEG- och JPEG2000-filmer kan leda till exekvering av godtycklig kod.
Ruby: Flertalet sårbarheter rättade.
Samba: Riggade RPC-anrop kan leda till exekvering av godtycklig kod.
Security Framework: En extern angripare kan få tjänsten att exekvera godtycklig kod.

Uppdateringar finns att ladda ner från leverantörens webbplats.

SR12-079 PHP - Allvarlig säkerhetsbrist rättad i ny version

2012-05-09T08:41:23Z

Förra veckan släpptes en ny version av PHP vilken skulle rätta sårbarheten i PHP-CGI-anrop. Lösningen fungerade inte fullständigt varför en ny version nu har släppts. För att utnyttja sårbarheten används URL:er i följande format:

http://[target]/index.php?-s

En lyckad attack kan leda till exekvering av godtycklig kod.

Sårbarheten utnyttjas aktivt enligt följande källa:

http://blog.sucuri.net/2012/05/php-cgi-vulnerability-exploited-in-the-wild.html

CERT-SE rekommenderar därför att PHP uppgraderas till version 5.3.13 eller 5.4.3 snarast.

SR12-078 Adobe - Flertalet produkter sårbara

2012-05-09T08:17:27Z

Följande produkter är uppdaterade:

Shockwave Player: Fem stycken sårbarheter vilka alla kan leda till exekvering av godtycklig kod då en riggad webbsida besöks.
Flash Professional: En sårbarhet vilken kan leda till exekvering av godtycklig kod. Observera att detta är Adobes utvecklingsvertyg för Flash och inte Flash-insticksprogrammet.
Photoshop: Två sårbarheter vilka kan leda till exekvering av godtycklig kod då en TIF-bild öppnas.
Illustrator: Fem stycken sårbarheter vilka alla kan leda till exekvering av godtycklig kod.

Uppdateringar finns att ladda ner från tillverkarens webbplats.

SR12-077 Microsoft - Windows-uppdateringar för maj

2012-05-08T19:11:22Z

Maj månads uppdateringar finns nu tillgängliga via Windows Update. 23 stycken sårbarheter uppdelat i sju stycken bulletiner är åtgärdade.

Följande sårbarheter är rättade:

MS12-029 Word ("kritisk"): Sårbarheten kan leda till exekvering av godtycklig kod då ett riggat RTF-dokument (Rich Text Format) öppnas. Observera att även Office för Mac är sårbar.
MS12-034 Office, Windows, .NET och Silverlight ("kritisk"): Denna bulletin omfattar tio sårbarheter spridda i en rad olika produkter. Sex sårbarheter kan leda till exekvering av godtycklig kod. Två sårbarheter kan triggas genom att riggade TrueType-filer öppnas. En annan sårbarhet gör det möjligt för en angripare att gå runt säkerhetsmekanismerna för manipulation av minnet och på så sätt exekvera godtycklig kod. GDI+ innehåller två sårbarheter som kan leda till exekvering av godtycklig kod då en EMF-bild (Enhanced Metafile) processas, exempelvis kan EMF-bilden ligga inbäddad i ett riggat Office-dokument. Tre säkerhetshål kan utnyttjas av en angripare för att förhöja sina privilegier, eftersom sårbarheterna gör det möjligt att exekvera godtycklig kod i Windows-kärnan.
MS12-035 .NET ("kritisk"): Dessa två sårbarheter kan leda till exekvering av godtycklig god då en specialkonstruerad webbsida öppnas i en webbläsare som kan exekvera "XAML Browser Applications" (XBAP). En XBAP är en kompilerad webbapplikation som körs i en webbläsare. I .NET Framework 3.0 stöds XBAP endast i Internet Explorer, men i .NET Framework 3.5 SP1 stöds även Firefox.
MS12-030 Excel ("viktig"): Omfattar sex stycken säkerhetshål vilka alla kan medge exekvering av godtycklig kod då en specialkonstruerad Excel-fil öppnas. Observera att även Office för Mac är sårbar.
MS12-031 Visio Viewer 2010 ("viktig"): Denna sårbarhet kan leda till exekvering av godtycklig kod om ett riggat Visio-dokument öppnas. Observera att endast Visio 2010 är sårbar.
MS12-032 TCP/IP ("viktig"): Omfattar två säkerhetshål. Den ena gör det möjligt att gå runt Windows-brandväggen för utgående "broadcast"-paket. Med den andra sårbarheten kan en angripare förhöja sina privilegier på grund av felaktig hantering av IPv6-adresser då dessa binds till ett lokalt "interface".
MS12-033 Partition Manager ("viktig"): Sårbarheten gör det möjligt för en inloggad användare att förhöja sina privilegier. För att utnyttja sårbarheten måste angriparen först logga in och sedan köra ett specialkonstruerat program.

Microsoft tackar följande personer eller organisationer för att ha hittat sårbarheterna:

MS12-034: Alin Rad Pop [CVE-2012-0159], Vitaliy Toropov [CVE-2012-0162], Omair [CVE-2012-0165], Alex Plaskett (MWR InfoSecurity) [CVE-2012-0176], Tarjei Mandt [Azimuth Security) [CVE-2012-0181], Nicolas Economou (Core Security Technologies) [CVE-2012-0181], Geoff McDonald (Symantec) [CVE-2012-0181] samt h4ckmp [CVE-2012-1848].
MS12-035: James Forshaw (Context Information Security) [CVE-2012-0160, CVE-2012-0161].
MS12-030: Omair [CVE-2012-0141, CVE-2012-0142, CVE-2012-0184] samt Sean Larsson och Jun Mao [CVE-2012-0185, CVE-2012-1847].
MS12-031: Luigi Auriemma [CVE-2012-0018].
MS12-032: Bojan Zdrnja (INFIGO IS) [CVE-2012-0174] samt Anatoliy Glagolev (Genesys Telecommunications) [CVE-2012-0179].