0-day i Explorer och WordPad

[brainslicer]

http://www.sitic.se/sarbarheter/sr/sr08-322-microsoft-internet-explorer-0-day-sarbarhet-i-xml-modul/

SR08-322 Microsoft - Internet Explorer, "0-day"-sårbarhet i XML-modul

 

Nyckelord: Microsoft

 

 

Microsoft Internet Explorer innehåller en sårbarhet i en XML-modul. Det finns för tillfället inga säkerhetsuppdateringar att tillgå. Effektivt utnyttjande kan leda till att godtycklig kod kan köras på det sårbara systemet.

 

Publicerad: 2008-12-10 13:33

 

Problembeskrivning

CVE-referens: - Det har blivit känt att exploateringskod till en "0-day"-sårbarhet som påverkar Microsoft Internet Explorer finns att tillgå på Internet. Sårbarheten, som är "heap"-baserad, orsakas av bristande säkerhet i hanteringen av specialformaterade XML-taggar som refererar till frigjort minne i mshtml.dll.

För att sårbarheten ska kunna utnyttjas så krävs (enligt ISC/SANS) att Internet Explorer 7.x körs på Windows XP eller Window 2003. De bekräftar att sårbarheten har utnyttjats på Internet.

För tillfället finns det inte så mycket information att tillgå kring sårbarheten. Det är viktigt som användare att vara noggrann med vilka sidor man besöker samt vilka länkar man följer.

http://www.sitic.se/sarbarheter/sr/sr08-321-microsoft-wordpad-0-day-sarbarhet-i-text-converter

SR08-321 Microsoft - WordPad "0-day"-sårbarhet i "Text Converter"

 

Nyckelord: Microsoft

 

 

Microsoft WordPad innehåller en sårbarhet. Det finns för tillfället ingen säkerhetsuppdatering att tillgå. Effektivt utnyttjande kan leda till att godtycklig kod kan köras på det sårbara systemet.

 

Publicerad: 2008-12-10 11:33

 

Problembeskrivning

CVE-referens: CVE-2008-4841

En sårbarhet har upptäckts i Microsoft Wordpad. Sårbarheten orsakas av ospecificerade brister i "WordPad Text Converters" hantering av "Word-97"-filer.

En angripare kan utnyttja sårbarheten genom att specialformatera en "Word-97"-fil och sedan lura en användare att öppna filen.

Effektivt utnyttjande kan leda till att godtycklig kod kan köras på det sårbara systemet.

Microsoft varnar för det finns tillgänglig exploateringskod och att sårbarheten har utnyttjats på Internet.

Sårbarheten är en så kallad "0-Day", vilket innebär att det inte finns någon uppdatering att tillgå för tillfället.

Som tillfällig lösning föreslås att inte öppna MS Word-filer med WordPad.

 

samma hos secunia:

- Internet Explorer XML Processing Memory Corruption

- Microsoft Windows WordPad Text Converter Vulnerability

[Nice Hand GG]

Brainslicer du är kung! För varje fredag i skolan skall vi ta upp på våran datorsäkerhets kurs vad som hänt under veckan inom säkerhets världen

 

Så mer eller mindre, You make my friday! Å andra sidan har ju jag även fått upp ögonen för alla sidor du länkar och kan ju säga att dom har ju ganska nyttig information jag mer eller mindre kungar på lektionerna

 

Brainslicer, tack!

[Hoit]

Komiskt att folk fortfarande använder Internet explorer när det finns Firefox.

 

Btw... lynx ftw

[Staahla]

Komiskt att folk fortfarande använder Internet explorer när det finns Firefox.

 

Btw... lynx ftw

Tvärtom menar du väl? Är det verkligen någon som använder FF fortfarande?

[Weedobooty]

Jag blir så nyfiken, vilket engelskt ord är det som dom översätter till "sårbarheter"

[TheShuffler]

Jag blir så nyfiken, vilket engelskt ord är det som dom översätter till "sårbarheter"

 

Vulnerability?

[brainslicer]

Annat ord man kan söka på vid intresse är "exploit" http://en.wikipedia.org/wiki/Exploit_(computer_security)

 

dvs själva koden/datan som utnyttjar vulnerabilityn ifråga

 

Nu är det tydligen även bekräftat att Explorer-sårbarheten också drabbar Vista.

http://www.milw0rm.com/exploits/7410

(själva exploiten som proof of concept...)

 

 

råd och tillfällig lösning

Microsoft Security Advisory (961051)

Vulnerability in Internet Explorer Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/961051.mspx

 

 

En annan aktuell sak just nu är DNSChangers, som visar hur sårbar man är på trådlösa nät och kan bli redirectad vart som helst trots att man använder rätt url och webbrowsern visar rätt url... om tex nån i samma lokal är smittad eller för all del nån medvetet kör ett sånt program.

...då förstås även skickad till sidor som exploitar nämnda sårbarheter, eller kopior av sidor man ska logga in på osv...

 

Tänk en pokerlokal med många bärbara, hotell...

 

http://www.avertlabs.com/research/blog/index.php/2008/12/04/dnschanger-trojans-v40/

We’ve now seen a new tactic, which has the potential of impacting most devices on the local network–independent of the operating system or device (Windows, Linux, Internet-capable MP3 players, digital picture frames, refrigerators, you name it). The tactic involves serving the rogue DNS server configuration over DHCP, the protocol responsible for distributing dynamic IP addresses, as well as other information, including DNS settings.

Here’s a scenario:

• Jill is using the free WiFi access point at her favorite coffee shop from her infected Windows laptop.
  
• Steve sits down at the next table and fires up his laptop, which requests an IP address over the wireless local area network.
  
• Jill’s PC injects a DHCP offer command to instruct Steve’s computer to route all DNS requests through a rogue DNS server.
  
• Steve fires up his web browser and navigates to his favorite social networking site, but while the browser displays the correct URL name, the rogue DNS server has actually directed the browser to another site.

The same applies to any local area network (LAN) where multiple system connect via DHCP.

 

[brainslicer]

Kan ju vara intressant med lista över dom mest sårbara programmen för Windows 2008...

http://sakerhet.idg.se/2.1070/1.200187/programmen-som-it-administratoren-bor-se-upp-med

 

MS produkter som uppdateras centralt är inte med(listorna avsedda för företag).

Farligaste programmen

Bit9 listar följande sårbara program. I samtliga fall har minst en sårbarhet från i år nått nivån "kritisk", hos CVSS (Common Vulnerability Scoring System).

 

1. Mozilla Firefox

2. Adobe Flash och Acrobat

3. EMC VMware Player, Workstation och andra produkter

4. Sun Java Runtime Environment (JRE)

5. Apple QuickTime, Safari och iTunes

6. Diverse Symantec Norton-produkter

7. Trend Micro OfficeScan

8. Diverse Citrix-produkter

9. Aurigma Image Uploader, Lycos FileUploader

10. Skype

11. Yahoo! Assistent

12. Microsoft Windows Live (MSN) Messenger

2007 års lista..

http://techworld.idg.se/2.2524/1.128527

1. Yahoo Messenger 8.1.0.239 och tidigare

2. Apple Quicktime 7.2

3. Mozilla Firefox 2.0.0.6

4. Microsoft Windows Live Messenger 7.0, 8.0

5. EMC Vmware Player 2.0, 1.0.4

6. Apple Itunes 7.3.2

7. Intuit Quickbooks Online Edition 9 och tidigare

8. Sun Java Runtime Environment 1.6.0_X

9. Yahoo Widgets 4.0.5 och tidigare

10. Ask.com Toolbar 4.0.2.53 och tidigare

11. Broadcom drivrutin för trådlöst nätverk, för Cisco Linksys WPC300N Wireless-N Notebook Adapter 3.50.21.10

12. Macrovision InstallFromTheWeb

2006

http://www.idg.se/2.1085/1.66210

Firefox 1.07 är den tillämpning som toppar listan följt av Apples Itunes 6.02 och Quicktime 7.0.3. Med på listan finns även Skype 1.4, Adobe Acrobat Reader 7.02 och 6.03 samt Sun Java Run-Time Environment 5.0 Update 3 och JRE 1.4.2_08.

 

Utöver dessa tillämpningar har Bit9 även tagit med Winzip, AOL:s AIM-klient, Microsofts MSN Messenger, Yahoos IM-klient, Bitdefender Antivirus, Realplayer, ICQ samt Sonys rootkit.

[brainslicer]

Lite artiklar idag om sårbarheterna, börjar bli en liten såpa av det...

 

http://sakerhet.idg.se/2.1070/1.200193/forskartabbe---skadlig-kod-for-ie7-publicerad

 

2008-12-12 07:00 :

Forskartabbe - skadlig kod för IE7 publicerad

 

Trots jätteuppdatering på patchtisdag har Microsoft inte lyckats åtgärda den kritiska sårbarhet som nyligen upptäckts i Internet Explorer 7. Till råga på allt har it-säkerhetsforskare av misstag också publicerat den kod som utnyttjar sårbarheten.

 

Webbläsaren Internet Explorer 7 har en sårbarhet som gör att den kan infekteras enbart genom att surfa in på fel sida. Sårbarheten klassas som kritisk. Vad värre är, den kod som utnyttjar sårbarheten har också blivit publicerad på webben.

 

Datorer som kör operativsystemen Windows XP, oavsett servicepack och Windows Server 2003 service pack 1 och 2 är drabbade. De modernare operativsystemen Windows Vista med service pack 1 och Windows Server 2008 har också visat sig sårbara.

 

Microsoft, som har erkänt problemet, har ännu inte uppgett något datum för när en uppdatering kommer att finnas tillgänglig.

 

Bakom publiceringen står it-forskare från det kinesiska säkerhetsteamet Knownsec. Att det hela var ett misstag blev uppenbart först när det var försent. Till it-säkerhetsföretaget Idefense säger Knownsec att man också trodde att sårbarheten redan var åtgärdad.

 

Den skadliga koden som enligt uppgift från Knowsec under november sålts för så mycket som 15 000 dollar på den svarta marknaden, sjönk snabbt i värde efter publiceringen och såldes ett tag för 650 dollar.

 

Att det kan dröja innan en uppdatering är släppt från Microsoft ger angripare gott om tid att dra nytta av tabben, menar Toralv Dirro, säkerhetsstrateg på Mcafee i Tyskland.

 

På Idefense uppger man även att det inte finns mycket användare av Internet Explorer 7 kan göra för att skydda sig. Sans Institute, som också undersökt problemet har dock delat med sig av det enkla rådet att byta webbläsare.

Där om WordPad sårbarheten:http://sakerhet.idg.se/2.1070/1.200201/nolldagarssarbarhet-i-wordpad

[brainslicer]

Är väl på sin plats att bumpa då nya uppgifter framkommit och ändrade uppgifter hur man skyddar sig och inga patchar finns.

 

Andra Explorer versioner är också sårbara, liksom Outlook Express enligt US-Cert:http://www.kb.cert.org/vuls/id/493881

...

...

I. Description

 

Microsoft Internet Explorer contains an invalid pointer vulnerability in its data binding code. This flaw can cause an invalid array size and result in the accessing of memory space of a deleted object. Specially-crafted XML content that performs data binding can cause IE to crash in a way that is exploitable. Limited testing has shown this vulnerability to affect Internet Explorer 7 and later, up to and including Internet Explorer 8 Beta 2. However, all versions of Internet Explorer from 4.0 and on may be at risk. We have confirmed that Outlook Express is also at risk. Exploit code for this vulnerability is publicly available.

 

...

...

III. Solution

 

We are currently unaware of a practical solution to this problem. Microsoft Security Advisory (961051) provides some workarounds, including unregistering oledb32.dll. These workarounds are further explained in the Microsoft SWI Blog.

 

Disable Active Scripting

 

This vulnerability can be mitigated by disabling Active Scripting in the Internet Zone, as specified in the "Securing Your Web Browser" document. Note that this will not block the vulnerability. IE still may crash when parsing specially-crafted XML content. Disabling Active Scripting will mitigate a common method used to achieve code execution with this vulnerability.

Enable DEP in Internet Explorer 7

 

Enabling DEP in Internet Explorer 7 on Windows Vista can help mitigate this vulnerability by making it more difficult to achieve code execution using this vulnerability.

...

...

http://sakerhet.idg.se/2.1070/1.200691/aven-internet-explorer-6-drabbat-av-nolldagarssarbarhet

Även Internet Explorer 6 drabbat av nolldagarssårbarhet

 

Efter vidare efterforskningar om den nyupptäckta sårbarheten i Internet Explorer har det kommit fram att också version 6 är drabbat.

 

De danska sårbarhetsanalytikerna Secunia har undersökt den nyupptäckta säkerhetsbristen i Internet Explorer 7. Bland annat har man kommit fram till att inte vara version 7 är drabbat, utan även version 6. De attacker som hittills noterats angriper dock version 7. Microsoft bekräftar uppgifterna i sitt säkerhetsmeddelande och skriver att dessutom version 5.01 och 8 (beta 2) är sårbara.

 

Secunia skriver vidare att bristen inte heller ligger i hanteringen av XML, vilket uppgifter först gjorde gällande. Sårbarheten ligger istället i data binding-funktionen i Internet Explorer, en uppgift som också den bekräftats av Microsoft.

 

Slutligen skriver Secunia att en höjning av säkerhetsnivån i Internet Explorer till ”hög” eller att inaktivera Active Scripting inte i sig skyddar mot bristen. Det blir dock tekniskt sett svårare att lyckas med ett angrepp.

 

Enligt Secunia visar de nya uppgifterna om bristen att de säkerhetslösningar som bygger på skydd mot den ena eller andra exloit-koden ofta är otillräckliga, då nya uppgifter om sårbarheter, som i detta fall, kan komma fram.

 

Källa: Secunia.

[brainslicer]

http://www.avertlabs.com/research/blog/

IE 7 Exploit Reloaded: The new face of Drive-by Attacks using Doc files

 

 

http://sakerhet.idg.se/2.1070/1.202588/hackare-overlistar-ie7-patch-via-word

Hackare överlistar IE7-patch via Word

 

I onsdags förra veckan släppte Microsoft en uppdatering för att åtgärda en kritisk sårbarhet i Internet Explorer 7. Som svar har hackare istället vänt sig till ordbehandlaren Word för att utnyttja sårbarheten.

 

Hackare fortsätter att dra nytta av den nyligen åtgärdade sårbarheten i webbläsaren Internet Explorer 7. Denna gång genom att gömma elak kod som utnyttjar activex-kontroller i Word-dokument. Detta enligt säkerhetsforskare på Mcafee som uppger att detta också kringgår den uppdatering som släpptes för webbläsaren under förra veckan.

 

– Det är ett ganska lömskt sätt att angripa folk på, eftersom kommunikationen med sajten är osynlig för ögat, säger Marcus.

 

Leverans av de preparerade dokumenten kan ske antingen via e-post, där mottagaren uppmanas att öppna det bifogade Word-dokumentet, eller direkt via hemsidor på webben.