Subscribe RSS

Posts Tagged ‘0-day’

0-day exploit pentru Internet Explorer / XP

March 1st, 2010 by imsafeonline | Comments Off | Filed in Alerte

 

A fost raportata o noua problema in Internet Explorer 6, 7 si 8. Sistemul afectat este Windows XP.

Nu sunt afectate: Windows 7, Windows Server 2008 R2, Windows Server 2008 si Windows Vista.

Pentru ca exploitul sa functioneze este nevoie de ceva inginerie sociala. Deocamdata nu se cunosc atacuri care sa se foloseasca de acest exploit.

Microsoft investigheaza problema si va oferi informatii suplimentare cand vor fi disponibile: Investigating a new win32hlp and Internet Explorer issue

============

Update: Microsoft a emis o avertizare: Vulnerability in VBScript Could Allow Remote Code Execution

Produsele afectate sunt: Microsoft Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition Service Pack 2, Windows Server 2003 Service Pack 2, Windows Server 2003 with SP2 for Itanium-based Systems si Windows Server 2003 x64 Edition Service Pack 2.

Tags: , ,

Vulnerabilitate 0-day in Firefox 3.6

February 19th, 2010 by imsafeonline | Comments Off | Filed in Alerte, Stiri

 

A fost descoperita o vulnerabilitate in Firefox 3.6. care permite executarea unui cod de la distanta. Se pare ca vulnerabilitatea poate fi exploatata doar pe un sistem cu Windows XP sau Vista. Exploitul nu este (inca) public, asa ca pericolul nu este iminent.

Secunia: Mozilla Firefox Unspecified Code Execution Vulnerability (highly critical)

Tags: ,

Vulnerabilitate 0-day in Adobe Download Manager

February 19th, 2010 by imsafeonline | Comments Off | Filed in Alerte, Stiri

 

A fost descoperita o vulnerabilitate in Adobe Download Manager. Un raufacator poate forta descarcarea si instalarea unui program folosind Adobe Download Manager.

Pentru a nu fi afectat de aceasta vulnerabilitate reporneste calculatorul dupa ce instalezi un produs Adobe via adobe.com. Adobe Download Manager va dispare dupa reboot. Se asteapta un raspuns de la Adobe cu privire la aceasta vulnerabilitate.

ZDNet Zero Day: Skeletons in Adobe’s security closet

 

In legatura cu Adobe ar mai fi de spus ca ofera pe site-ul sau o versiune vulnerabila a Adobe Reader: versiunea 9.3.

adober93

Ultima versiune este 9.3.1.  Dupa ce descarci versiunea vulnerabila de la adobe.com ai grija sa instalezi ultimul update. Click Help > Check for updates …

adobe-reader-931

Adobe Reader instaleaza si alte produse: Acrobat.com si Adobe AIR. Daca nu ai nevoie de ele le poti dezinstala din Add / Remove Programs. Altfel ai grija sa mentii Adobe AIR la zi.

Tags: ,

Vulnerabilitate 0-day in Internet Explorer (979352)

January 15th, 2010 by imsafeonline | Comments Off | Filed in Alerte

 

Microsoft a lansat un avertisment in legatura cu o ie7vulnerabilitate 0-day in Internet Explorer: Vulnerability in Internet Explorer Could Allow Remote Code Execution

Sunt afectate Internet Explorer 6, 7 si 8.

Se pare ca atacul asupra Adobe a avut loc prin exploatarea acestei vulnerabilitati.

Pana acum sunt cunoscute doar atacuri cu tinta precisa asupra mai multor companii.

Vezi si: Google si Adobe atacate

Tags: , ,

IIS O-day update

December 29th, 2009 by imsafeonline | Comments Off | Filed in Stiri

 

Metasploit a lansat un modul pentru vulnerabilitatea descoperita saptamana trecuta in IIS (Internet Information Services). Vulnerabilitatea permite unui atacator sa urce un fisier pe serverul web si sa-l execute in anumite conditii.

Gestul Metasploit poate avea ca urmare inceperea exploatarii acestei vulnerabilitati pe servere web IIS care nu sunt configurate conform celor mai bune practici si instructiuni oferite de Microsoft. Serverele IIS exploatabile sunt cele care permit uploadul de fisiere, iar directorul in care acestea sunt salvate permite executarea fisierului.

Versiunile IIS vulnerabile sunt Microsoft IIS 6.0, 5.1., 5.0, 4.0, 3.0., 2.0 si 1.0.

Microsoft a oferit ieri explicatii in legatura cu aceasta vulnerabilitate.

Symantec: Metasploit Releases Module for IIS Local File Include Vulnerability

Metasploit: Exploiting Microsoft IIS with Metasploit  (Atentie ! Vizitarea acestui website poate declansa avertizari de la antivirus.)

Tags: ,

IIS 6.0 – O-day

December 29th, 2009 by imsafeonline | Comments Off | Filed in Stiri

 

Microsoft a explicat de ce nu se grabeste sa ofere un patch pentru vulnerabilitatea in Internet Information Services (IIS), raportata saptamana trecuta.

Microsoft spune ca IIS este vulnerabil daca a fost instalat fara setarile implicite, iar atacatorul trebuie sa aiba drepturi de scriere pe un director.

Cei care respecta bunele practici si instructiunile Microsoft pentru instalarea IIS se supun doar unui risc minor. In afara de asta Microsoft nu observat tentative de a exploata acesta vulnerabilitate.

In ultimele zile a existat o presiune asupra Microsoft pentru a oferi un patch mai repede.

The Microsoft Security Response Center blog: New Reports of a Vulnerability in IIS

Secunia: Microsoft IIS ASP Multiple Extensions Security Bypass (less critical, 2 din 5)

Tags: ,

Iulie, luna plina de exploituri 0-day

July 24th, 2009 by imsafeonline | Comments Off | Filed in Alerte

1. Luna a inceput cu 0-day exploit: Microsoft DirectShow.

2. Dupa cateva zile a continuat cu exploatarea unei vulnerabilitati 0-day in Microsoft Office Web Components Control.

3. In urmatoarea zi a fost descoperit un exploit 0-day pentru Firefox 3.5.

4. Peste inca patru zile se vorbea de o vulnerabilitate in proaspat lansatul Firefox 3.5.1. Vulnerabilitatea nu s-a dovedit insa a fi atat de periculoasa.

5. Acum cateva zile a fost descoperit un exploit 0-day pentru Abobe Flash.

Si cu acest exploit o groaza de balbaieli si confuzii. Prima confuzie s-a facut in legatura cu produsele vulnerabile. Lucrurile au fost lamurite de Adobe. A urmat apoi confuzia in legatura cu cel mai potrivit workaround pana la aparitia unui patch.

Luna inca nu s-a terminat … Cine urmeaza ?

Tags:

Vulnerabilitate 0-day in Flash Player

July 23rd, 2009 by imsafeonline | 1 Comment | Filed in Alerte

O vulnerabilitate 0-day in Flash Player este exploatata pe net. Ultima versiune Flash Player este afectata, probabil si altele.

Vestea buna e ca deocamdata exploitul nu este raspandit.

Vestea proasta este ca vulnerabilitatea din Flash Player, cum era de asteptat, este exploatata prin atacuri drive-by. Te poti infecta prin simpla vizitare a site-ului compromis.

Se pare ca exista un exploit pentru Firefox si altul pentru Internet Explorer.

Security Focus: Adobe Acrobat, Reader, and Flash Player Remote Code Execution Vulnerability

Adobe: Potential Adobe Reader, Acrobat, and Flash Player issue

SANS ISC: YA0D (Yet Another 0-Day) in Adobe Flash player

================================

Update 1: La loc comanda. Produsele vulnerabile sunt: Flash Player (v9.x & v10.x) si Adobe Reader / Acrobat 9.x

Patch-ul pentru Flash Player este asteptat pe 30 iulie, iar cel pentru Adobe Acrobat / Reader pe 31 iulie.

================================

Update 2: Pana la aparitia unui patch se recomanda urmatorul workaround:

1. Dezactiveaza Flash in Adobe Reader 9.x

Redenumeste urmatoarele 2 fisiere:

%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll

“%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll

De exemplu adauga extensia .bak dupa .dll

2. Dezactiveaza Flash Player sau dezactiveaza-l selectiv (recomandat)

Dezactivarea selectiva se poate face cu extensii ca NoScript pentru Firefox si IE7Pro pentru Internet Explorer.

Daca vrei sa dezinstalezi Flash Player vezi aici: How to uninstall the Adobe Flash Player plug-in and ActiveX control

Verifica aici daca ai dezactivat sau dezinstalat Flash Player: http://www.adobe.com/products/flashplayer/ Daca programul este dezactivat va apare imaginea de mai jos.

 

 

requires-Flash

Tags: ,

Vulnerabilitati 0-day

July 14th, 2009 by imsafeonline | Comments Off | Filed in Alerte

Se pare ca avem o vulnerabilitate 0-day in Firefox 3.5 si un exploit public. Mozilla inca nu a confirmat daca Firefox 3.5 este vulnerabil.

Se spune ca vulnerabilitatea permite executia unui cod malitios pe PC-ul victimei.

Detalii: Mozilla Firefox Memory Corruption Vulnerability

 

Mai avem inca doua vulnerabilitati fara patch-uri, dar cu solutii provizorii:

Microsoft Security Advisory (973472)

si

0-day exploit: Microsoft DirectShow

 

Update:

Microsoft tocmai a lansat 6 buletine de securitate. Ultima vulnerabilitate de mai sus a primit un patch.

Nu mai sta pe ganduri. Actualizeaza Windows !

Microsoft Security Bulletin Summary for July 2009

Pentru cea de a doua vulnerabilitate aplica solutia provizorie de aici: Vulnerability in Microsoft Office Web Components control could allow remote code execution

 

Update 2

Mozilla a confirmat vulnerabilitatea in Firefox 3.5.: Critical JavaScript vulnerability in Firefox 3.5 Aplica solutia provizorie descrisa in linkul de mai sus sau dezactiveaza JavaScript.

Tags: ,

0-day exploit: Microsoft DirectShow

July 6th, 2009 by imsafeonline | Comments Off | Filed in Alerte

atentie S-au raportat atacuri 0-day care exploateaza o vulnerabilitate intr-o componenta a Microsoft DirectShow.

Produsele afectate sunt: cel putin Windows XP.

Infectia se produce via Internet Explorer sau a altor programe care pot fi vulnerabile (RealPlayer, Baidu Toolbar, etc.)

Pentru a te infecta e de ajuns sa vizitezi un website compromis. Nu este nevoie de interventia utilizatorului.

Solutie: Pana la aparitia unui patch poti seta killbits pentru fisierul vulnerabil:

Copiaza randurile de mai jos in Notepad si salveaza fisierul cu denumirea killbit.reg . La Save as type: trebuie sa selectezi All files (*.*)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}]
“Compatibility Flags”=dword:00000400

Apoi dublu click pe killbit.reg ca sa efectuezi modificarile in Windows Registry.

Lista completa a identificatorilor se afla pe site-ul Microsoft: Microsoft Security Advisory (972890)  Inlocuieste X-urile de mai sus cu cate un identificator.

Poti seta un killbit si cu ajutorul Spyware Blaster.

Copiaza randul de mai jos in fereastra corespunzatoare a Spyware Blaster:

{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}

Lista completa a identificatorilor se afla pe site-ul Microsoft: Microsoft Security Advisory (972890) 

In plus, mentine antivirusul cu semnaturile la zi.

Detalii: Microsoft DirectShow MPEG2TuneRequest ActiveX Control Buffer Overflow (extremely critical)

 

Update

Vulnerabilitatea este exploatata deocamdata in China si in alte parti din Asia.

Windows Vista nu pare a fi vulnerabil.

Recomandari:

Microsoft a lansat un avertisment: Microsoft Security Advisory (972890)

Tags: ,

Acrobat Reader: atac 0-day

February 25th, 2009 by imsafeonline | Comments Off | Filed in Alerte
Friday, 20-02-2009 la ora 21:31

Shadowserver Foundation a anuntat ieri ca a descoperit un atac 0-day prin care este  exploatata o vulnerabilitate in Adobe Acrobat / Reader versiunile 7, 8 si 9: When PDFs Attack – Acrobat [Reader] 0-Day On the Loose

Avertismentul Adobe: Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat

Adobe nu se grabeste sa lanseze un patch. Acesta va fi lansat probabil in martie.

Recomandari

Pana la aparitia unui patch dezinstaleaza Acrobat / Acrobat Reader

sau

Dezactiveaza JavaScript in Adobe Acrobat / Reader  (Edit > Preferences – JavaScript > debifeaza  Enable Acrobat JavaScript) (exploatarea vulnerabilitatii este posibila si fara suportul JavaScript; metodele de exploatare existente acum pe net necesita insa suportul JavaScript activat in Adobe Reader)

sau

Dezinstaleaza Adobe Acrobat / Reader si instaleaza Foxit Reader.

Mentine semnaturile antiviruslui la zi, nu deschide fisiere PDF fara sa fie scanate.

======================

Update: Wednesday, 25-02-2009 la ora 19:29

Clarificari privind recomandarea de a dezactiva suportul JavaScript in Adobe Reader.

Secunia: Adobe Reader/Acrobat 0-day Clarification

Tags: ,

Vulnerabilitate 0-day in Excel

February 24th, 2009 by imsafeonline | Comments Off | Filed in Alerte
Tuesday, 24-02-2009 la ora 19:53

O vulnerabilitate 0-day in Excel 2007 este exploatata pe net. Atacurile sunt cu tinta precisa si deocamdata utilizatorii obisnuiti nu au de ce sa-si faca probleme.

Versiunile Excel vulnerabile sunt:

  • Microsoft Excel 2007
  • Microsoft Excel 2007 SP1

Security Focus: Microsoft Excel Unspecified Remote Code Execution  Vulnerability

Symantec: Trojan.Mdropper.AC

================

Update,

Tuesday, 24-02-2009 la ora 21:47

Microsoft a lansat un "Security Advisory":  Vulnerability in Microsoft Office Excel Could Allow Remote Code Execution

Versiunile Excel vulnerabile sunt:

  • Microsoft Office Excel 2000 Service Pack 3
  • Microsoft Office Excel 2002 Service Pack 3
  • Microsoft Office Excel 2003 Service Pack 3
  • Microsoft Office Excel 2007 Service Pack 1
  • Microsoft Office Excel Viewer 2003
  • Microsoft Office Excel Viewer 2003 Service Pack 3
  • Microsoft Office Excel Viewer
  • Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1
  • Microsoft Office 2004 for Mac
  • Microsoft Office 2008 for Mac

Microsoft propune un workaround doar pentru versiunile 2003 si 2007.

Tags: ,

Update: Exploit 0-day pentru Internet Explorer 7

December 15th, 2008 by imsafeonline | Comments Off | Filed in Alerte

Specialistii de la Microsoft sunt de parere ca 0,2 % din utilizatori ar fi putut fi expusi la acest exploit. Numarul celor afectati crescuse sambata cu 50% fata de vineri, baietii rai reusind sa infecteze cateva site-uri, din China si Taiwan, considerate de incredere si avand milioane de vizitatori. Se estimeaza ca cca. 6000 site-uri sunt infectate.

Exploitul a inceput sa apara si pe site-uri cu continut pornografic.

Take care ! Foloseste un browser alternativ pana la aparitia unui patch. Mentine semnaturile anti-virusului la zi.

Microsoft Malware Protection Center: The new IE exploits for Advisory 961051, now hosted on pornography sites

Tags: ,

Exploit 0-day pentru Internet Explorer 7

December 13th, 2008 by imsafeonline | Comments Off | Filed in Alerte

O vulnerabilitate in Internet Explorer 7, pana acum necunoscuta, este exploatata pe Internet. Infectiile au inceput se pare in China.

Severitate: extremely critical

Produse afectate:

  • Windows XP Service Pack 3 cu toate patch-urile la zi
  • Windows Vista Service Pack 1 cu toate patch-urile la zi
  • probabil si altele

Secunia: Internet Explorer XML Processing Memory Corruption

McAfee: Downloader Trojan Exploits Hole in IE 7

ISC – SANS: 0-day exploit for Internet Explorer in the wild

Recomandari:

  • actualizeaza semnaturile anti-virusului
  • foloseste alt browser pana la aparitia unui patch (de exemplu Firefox + Noscript).

====================================

Update (10.12.2008, 20:50)

Symantec a publicat o prima analiza a acestui exploit. E posibil ca atacatorii sa foloseasca si alti vectori pentru exploatarea acestei vulnerabilitati. Problema se pare ca este in XML parsing engine a IE7 si MSHTML.DLL.

Symantec: Yes, There’s a Zero-Day Exploit for Internet Explorer Out There

====================================

Update 2 (11.12.2008, 21:05)

Microsoft Advisory: Vulnerability in Internet Explorer Could Allow Remote Code Execution

====================================

Update 3 (12.12.2008, 09:00)

Microsoft anunta ca pe langa Internet Explorer 7 sunt potential vulnerabile si Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 8 beta 2.

====================================

Update 3 (13.12.2008, 23:00)

Microsoft Malware Protection Center despre exploatarea vulnerabilitatii in Internet Explorer:

  • contextul este limitat
  • site-urile malitioase sunt gazduite de domenii din China
  • dupa actualizarea definitiilor antimalware exploitul a fost detectat in mai multe tari: de exemplu SUA (64%), sau Romania (1%)
  • sunt afectati atat utilizatori casnici cat si corporate
  • site-urile malitioase instaleaza malware divers
  • utilizatorii pot fi afectati si daca nu viziteaza site-uri suspecte; tinand cont ca in ultimul timp a crescut numarul atacurilor de tip SQL injection si site-uri de incredere pot servi malware in urma unui atac.

Limited Exploitation of Microsoft Security Advisory 961051

Tags: ,