IRT-bloggen – Sida 106 – IRT vid Umeå universitet informerar om aktuella IT-säkerhetsfrågor

0-day i Internet Explorer utnyttjas aktivt

10:11, 15 januari, 2010/i Info /av Maria Edblom Tauson

En så kallad ”0-day”, dvs en sårbarhet som det ännu inte finns någon rättning till, har upptäckts
i Internet Explorer. Denna sårbarhet har använts i attacker mot bland annat Google.

Problembeskrivning
Sårbarheten möjliggör exekvering av godtycklig kod då användaren besöker en riggad webbsida som
angriparen kontrollerar. Exempelvis kan en trojan installeras som ger angriparen möjlighet att
fjärrstyra datorn.

Lösning
Det finns för närvarande ingen programrättning. Sannolikheten att utnyttja säkerhetshålet i
Internet Explorer 8 är mindre eftersom DEP (Data Execution Prevention) är påslaget som standard.
Detta gäller även Windows Vista och Windows 7 eftersom skyddsmekanismen ASLR (Address Space
Layout Randomization) används i dessa versioner av Windows.

En temporär lösning kan vara att använda en annan webbläsare tills sårbarheten är rättad.

Påverkade versioner
Samtliga versioner av Internet Explorer är sårbara förutom en viss version av Internet
Explorer 5. Microsoft har dock endast sett attacker mot Internet Explorer 6. Alla Windows-
versioner kan vara sårbara, inklusive Windows 7.

Mer information
http://www.microsoft.com/technet/security/advisory/979352.mspx
http://blogs.technet.com/msrc/default.aspx
http://isc.sans.org/diary.html?storyid=7993
http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/

Kör du XP? Uppdatera Flash

09:55, 14 januari, 2010/i Info /av Maria Edblom Tauson

Microsoft bekräftar nu att den version av Flash som levereras med Windows XP är full med buggar och därför uppmanar man användarna att uppgradera mjukvaran.

Microsoft föreslår att man på Windows XP avinstallerar Adobe Flash Player 6 och laddar ner den senaste versionen istället direkt från Adobes hemsida.

Adobe Flash Player skickades bara med Windows XP t.o.m. service pack 3. I alla andra Windows-versioner måste man själv installera Adobe Flash Player.

Uppdatera Adobe Reader och Acrobat

09:45, 14 januari, 2010/i Info /av Maria Edblom Tauson

Nu finns det uppdateringar till de sårbarheter i Adobe Reader och Adobe Acrobat som man rapporterat om tidigare.

Åtta sårbarheter har upptäckts i PDF-läsaren Adobe Reader och Acrobat. Många av sårbarheterna medger exekvering av godtycklig kod då ett riggat PDF-dokument öppnas.

Säkerhetshålen är rättade i Adobe Reader 9.3 and Acrobat 9.3. Eftersom åtminstone en av sårbarheterna har utnyttjas aktivt för att sprida skadlig kod rekommenderar Adobe starkt en uppgradering. Uppdateringar finns att ladda ner från Adobes webbplats eller via den automatiska uppdateringstjänsten i applikationen.

Påverkade versioner

Adobe Reader 9.2 eller tidigare för Windows, Macintosh och UNIX
Adobe Acrobat 9.2 eller tidigare för Windows och Macintosh

Phishingförsök igen – Läs Email Security Meddelande

10:28, 11 januari, 2010/2 Kommentarer/i Info /av Maria Edblom Tauson

Detta hamnade i min egna brevlåda precis. Självklart är även detta bara ett fult försök till att sno lösenord och användarnamn. Denna gång är själva brevet bifogat som en HTML-fil. Klickar man på länkarna i brevet (jag har redigerat bort själva länkarna), går dessa inte alls till UmU:s webmail utan till en sajt som ligger någon helt annanstans. Lurigt gjort, men texten är sämre översatt än någonsin till riktigt usel svenska denna gång. Men till och med vår logga har de lagt in.

Adressen: support@adm.umu.se är spärrad hos oss nu som avsändar-adress, så inga fler phishing-mail kan skickas med just denna adress.

Följer man länken i mailet hamnar man på http://64.15.137.185/~mrtech/webmail.umu.se/ och får upp en sida som är identisk med motsvarande sida på UmU.

Läs bifogad skrivelse till din nya e-postsäkerhet meddelande. security_letter.html text/html 5.5k

Hej,

Grund
av vår nya SECURTY uppdatering och borttagning av alla oanvända konton
du måste bekräfta din e-post genom att logga in på ditt konto. Vi skulle också kunna stänga alla oanvända konton.

Vad du behöver göra:
1. Logga in på ditt konto på http://webmail.umu.se/src/login.php, genom att klicka på webbadressen.
2. Ange ditt användar-ID och lösenord.
3. När du loggar in en ny säkerhetsnivå skulle uppdateras för ditt konto.

Efter att följa anvisningarna i brevet, kommer ditt konto inte avbrytas och kommer att fortsätta som vanligt. Tack för er uppmärksamhet på denna begäran. Vi ber om ursäkt för eventuella besvär.

Logga in på ditt konto omedelbart och fortsätta att använda kontot som vanligt
medan du njuter av vår nya säkerhetsuppdateringar.

http://webmail.umu.se/src/login.php
Webmaster.
http://webmail.umu.se/src/login.php

Info: Thunderbird reagerar med en varning om att man är på väg till en ”scam-site”, om man klickar på länkarna.

Bluffmail som ser ut att komma från Telia.Com

13:39, 8 januari, 2010/i Info /av Maria Edblom Tauson

Fick ett nytt bluff-brev tillsänt mig från en av våra användare. Tyvärr har jag inte brevhuvudet så jag kan se svarsadressen, men kan aldrig tänka mig att Telia skulle efterfråga användarnamn och lösenord på detta sätt och med den nya dialekten Google Translate-svenska.

Från: mail.telia.com [mailto:helpdesk@telia.com] 
Skickat: den 8 januari 2010 04:19
Ämne: Bäste mail.telia.com Post User
--
Bäste mail.telia.com Post User, 

Vi skrev till er den 8 januari 2010 att ge råd att du byter lösenord på 
ditt konto för att förhindra obehörig åtkomst till kontot efter 
nätverket instruktion vi kommunicerade tidigare. 

alla Mailhub system kommer att genomgå planerat underhåll. Access 
till din e-post via webmail-klienten kommer att vara otillgänglig under en längre tid 
under denna uppfyllandeperiod. Vi håller på att uppgradera vår databas 
och e-post kontocentral I.E hemsida view. Vi skall ta bort gamla 
[https: / / mail.telia.com / l konton som inte längre är aktiva för att skapa 
mer utrymme för nya accountsusers. Vi har också undersökt ett stort 
säkerhetsgranskning att förbättra och höja 
vår nuvarande säkerhet. 

För att fortsätta använda våra tjänster du behöver för att uppdatera och 
nytt comfirmed ditt e-postkonto detaljer som efterfrågas nedan. Att slutföra 
kontot nytt comfirmation, måste du svara på detta mail omedelbart 
Ange ditt konto 
detaljer som efterfrågas nedan. 

Användarnamn: 
Lösenord: 
Övrig 
Framtida Lösenord: 

Underlåtenhet att göra detta kommer omedelbart göra ditt konto inaktiveras från 
vår databas och service kommer inte att avbrytas så viktiga budskap kan 
också gå förlorade på grund av din sjönk till nytt comfirmed till oss ditt konto 
detaljer. 

Vi ber om ursäkt för det besvär som detta orsakar dig under den här 
period, men lita på att vi är här för att ge dig bättre och ge 
mer teknik som kretsar kring e-post och internet. Det är också 
relevant, du understandthat vår huvudsakliga uppgift är för våra kunder, 
och för säkerheten i sina filer och data. 

COMFIRMATION KOD: mail.telia.com -/93-1A388-480 Technical Support Team