.. och nu finns det en känd sårbarhet i WordPress 3.0.1

Även om inte MustLive hittade säkerhetshål i senaste versionen av WordPress så har David Vieira-Kurz från det tyska företaget Majorsecurity gjort det. Han har hittat en XSS-sårbarhet som påverkar den senaste versionen av WordPress 3.0.1 och eventuellt även tidigare versioner. Majorsecurity klassar sårbarheten som mindre allvarlig även om man i teorin kan injicera parametrar till wpadmin/plugins.php så är det inte lätt att hitta lämpliga kandidater men möjligheten finns och därför bör man tills vidare logga ut från WordPress när man besöker andra sidor tills dess att WordPress har säkrat hålet.

– Johan Ryberg

Källa: http://www.majorsecurity.net/wordpress-3-xss.php

Det blev inga sårbarheter för WordPress 3 denna gång

Som jag tidigare rapporterade om så skulle den Ukrainska säkerhetsforskaren “MustLive” släppa 8 sårbarheter till WordPress men inga av dessa gällde 3.0. De flesta gällde den äldre versionen 2.5 och som vanligt bör man alltid hålla sig uppdaterad så använder ni inte 3.0.1 är det hög tid för att uppgradera.

För den som vill läsa mer kan läsa via Google Translate direkt från källan: http://translate.google.com/translate?hl=en&u=http://websecurity.com.ua/4420/&sl=uk&tl=en

– Johan Ryberg

Trojaner, nu även till Android

Idag rapporterade Kaspersky Lab att dem hittat den första Androidtrojanen som skickar SMS. Vad jag vet är det den första trojanen över huvud taget som det har rapporterats om och det var väl bara väntat att skadliga program även skulle komma till Android då det är den mest växande plattformen just nu.

Denna trojan ser ut som en mediaspelare och redan under installationstillfället bör ögonbrynen höjts för dem som installerat då den kräver tillstånd för att utnyttja tjänster som kostar pengar och denna just att få skicka SMS.

De SMS som skickas är dessutom betal-SMS som kostar 5$ men det bör inte påverka oss i Sverige då dem skickas till två kortnummer 3353 och 3354 och då gäller det att våra operatörer har registrerat dessa samt att de kostar pengar och den chansen är inte så stor.

Hur som helst är det verkligen dags att installera applikationer oavsett källa med stor försiktighet och noggrant gå igenom vilka krav på funktioner som applikationen kräver för att fungera och känns det fel för vad du förväntar dig så installera inte applikationen, välj någon liknande som inte kräver lika mycket då det ofta finns alternativ.

– Johan Ryberg

Källa:

8 nya sårbarheter i WordPress kommer snart att delges

Nyss delgav MustLive via Full-Disclosure (som jag skrev om för ett par dagar sedan) att han hittat 8 sårbarheter i WordPress vilket han snart kommer att gå ut med. Det skall bli spännande att se om dem gäller den nya motorn 3.0.1 eller om det gäller äldre installationer.

Om det gäller 3.0.1 så lär det bli bråda dagar att säkra sina installationer.

Uppdatering kommer så fort som möjligt.

– Johan Ryberg

Sårbarhetsjakt i WordPress – Sist hittades 82 sårbarheter

Säkerhetsforskaren MustLive från Ukraina utförde 2007 “Days of bugs in WordPress” där han avslöjade hela 82 säkerhetshål. Idag påbörjar han “Days of bugs in WordPress 2″  där han kommer att publicera säkerhetshål som han har hittat från 2007 fram tills nu och det kan bli bråda dagar för utvecklarna hos WordPress för när han är klar med rapporteringen (till WordPress?) så kommer han att publicera detaljerad information till e-postlistan Full-disclosure gällande sårbarheterna.

Alla avancerade CMS innehåller säkerhetshål och nu när t.ex. WordPress 3.0 som är relativt ny släpptes så fanns det nya funktioner som även då innehåller nya säkerhetsproblem. WordPress 3.0.1 släpptes igår men där finns ingen information om att några säkerhetshål är tilltäppta utan det är en ren buggrättningsrunda så det kommer blir mycket spännande att se om det gäller de äldre motorerna eller om det även gäller 3.0.x.

Jag känner mig personligen dock inte orolig även om denna blogg är WordPress så är det en kalkylerad risk och eftersom bloggen är det enda som finns på detta konto och självklart är alla inloggningar helt unika så finns det inte mycket att hämta mer än att jag måste rensa allt och återställa med en backup om/när något sådant inträffar.

– Johan Ryberg

Källa:
http://websecurity.com.ua/4416/

Live wallpaper-appen för Android som ÄR skadlig

När man talar om trollen (Var 5:e Androidapp är skadlig?). Jag han bara publicera inläggen för att sedan hitta i min RSS-läsare denna rapport från Lockout som besöker Blackhat 2010 som hittat ett oönskat beteende i applikationer från utvecklaren Jackeey Wallpaper / callmejack som tar fram olika program som visar bakgrunder i telefonen. Dessa program skickar bland annat telefonnummret, IMSI, kortnummret till röstbrevlådan till en kinesisk webbserver (www.imnet.us). Frågan är vad dem skall göra med informationen.

– Johan Ryberg

Källa:
http://blog.mylookout.com/2010/07/mobile-application-analysis-blackhat/

Var 5:e Androidapp är skadlig?

Android växer sig allt större och antalet apps och telefonmodeller ökar lavinartat. Google har helt klart lyckats med sin satsning att få fram en stark motståndare till Appels iOS. Det finns dock några mindre bra saker som jag vill ta upp och dem är följande:

  • Okontrollerad marknadsplats (Android Market)
  • Svårbegriplig information gällande applikationers rättigheter
  • Ingen varning vid förändring av applikations rättighet vid uppgradering

Grundidén med Android är att det skall vara en öppen plattform och så är även Android Market. Google har möjlighet att i efterhand automatiskt radera applikationer som dem finner skadliga men för oss användare kan skadan redan ha skett. Vem som helst kan publicera vilken som helst mjukvara, det finns ingen som kontrollerar detta. Firefox som jag har skrivit om tidigare har en grupp redaktörer som har som uppgift att kontrollera AMO (addons.mozilla.org) och för att en utvecklare skall få sitt addon publicerat måste det genomgå ett flera tester och bland annat så kontrolleras programvaran mot ett par olika antivirusprogram.

Androids motsvarighet till redaktörer saknas helt och hållet och istället överlåter man granskningen till användaren av Androidplattformen (handdator/tablet/TV/osv.). När du via Market installerar en app får du upp en lista med vilka rättigheter som programmet kräver och då är det upp till dig att avgöra om dessa krav är rimliga för vad programmet är tänkt att utföra.

Själv är jag kluven, jag tycker att det är jättebra att jag som användare har möjlighet att granska vilka större grupper av funktioner som applikationen behöver kunna få tillgång till för att fungera fullt men för den normala användaren så kommer denna information totalt ignoreras, ingen kommer att läsa, det är precis som avtalstexten som står när man skall installera en program. Man väljer att klicka “Jag godkänner” eftersom man vill använda programmet, resten är oväsentligt för den stora massan.

En annan sak som jag stör mig på är att om jag installerat app “X” vars rättigheter jag självklart har granskat och det kommer en uppgradering ett par veckor senare så kommer jag att behöva godkänna samma? lista med krav, eller…. Det kan mycket väl tillkommit eller försvunnit en rättighet utan att det syns på något tydligt sätt. Detta tycker jag är ett problem. Vid uppgraderingar så granskas inte längre applikationer på samma sätt och om det t.ex. tillkommer “Tjänster som kostar pengar” eller “android.permission.CALL_PHONE” så är risken mycket stor att man missar detta och kanske har applikationens beteende förändrats så att den t.ex. ringer betalnummer i smyg utan användarens vetskap. Här borde det tydligt stå vad som tillkommit sedan förra versionen för att öka säkerheten markant.

Nu är inte var 5:e app skadlig, men var 5:e har tillgång till personlig information enligt en undersökning utförd av SMobile Systems vilket potentiellt kan innebära en stor risk för användaren då ingen har fått möjlighet att kontrollera vad applikationen gör med informationen den har tillgång till.

Källor:
http://developer.android.com/reference/android/Manifest.permission.html
http://threatcenter.smobilesystems.com/?p=1887

– Johan Ryberg

Apropå Microsoft Security Advisory (2286198)

För ett tag sedan fick jag reda på hur en bekant till mig hanterar data på sitt arbete. Han förklarade att hans kunder ofta har med sig data för bearbetning och som då oftast finns på USB-minnen som överlämnas till honom eller till någon medarbetare som då ansluter USB-minnet till närmsta arbetsstation för att kopieras till nätverket innan det importeras i deras stödsystem.

Jag kände genast rysningar igenom min ryggrad med goda minnet av tidigare problem med autorun och sårbarheter och som tur var är min bekant chef på företaget i fråga och efter en mindre diskussion installerades en gemensam punkt för sådana importer via en arbetsstation som kör Ubuntu/Linux.

Även om man kunnat lösa problemet via policys så har jag aldrig känt mig riktigt säker med Windows och främmande lagringsmedium och tur var väl det nu när denna “SCADA”-mask vid namn Win32/Stuxnet har kommit som en blixt från klar himmel.

Detta säkerhetshål som ännu inte har fixat är riktigt läskigt och det kommer att ställa till med ordentligt stora problem. Tyvärr räcker det alltså att bara titta på en infekterad genväg för att riskera att bli smittad och än så länge finns det bara ett känt hot men det lär inte dröja länge förrän det dyker upp nya varianter som är betydligt mer aggressiva än detta som än så länge “bara” ger sig på Siemens WinCC SCADA system.

Edit: En säkerhetsforskare som kallar sig ivanlef0u har precis släppt kod som utnyttjar ovan nämnda säkerhetshål, hans blogg finns här: http://www.ivanlef0u.tuxfamily.org/ vilket är ännu ett bevis för att vi snart har ett stort problem för samtliga Windowsanvändare.

– Johan Ryberg

Källa:
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://isc.sans.edu/diary.html?storyid=9181

Är 10 miljoner Firefoxanvändare nästa måltavla för hackers?

I skrivande stund används strax över 157 000 000 tillägg i Firefox, bara Adblock Plus står för cirka 10 470 000 olika installationer. Tilläggen hjälper oss att t.ex. skydda oss, ladda ner inbäddad information som t.ex. Flash-filmer eller debuggar webbsidor, möjligheterna är oändliga.

De flesta tillägg bygger på öppen källkod och vi har alla en teoretisk chans att granska koden men i praktiken ser aldrig detta. Många påstår att öppen källkod är mer säker av just den anledningen att koden kan granskas men är ingen garanti. Ett exempel på detta är IRC-servern UnrealIRCd som någon gång i november 2009 fick sin källkod modifierad med en trojan och som inte upptäcktes förrän 12 juni 2010.

De flesta tillägg är från början vanliga program som utför precis vad dem skall göra men det finns exempel på tillägg som redan från början utför saker dem inte skall göra som t.ex. Mozilla Sniffer. Detta tillägg stal användarnamn och lösenord som angetts i formulär och tillägget skickade automatiskt informationen vidare till en server.

Ett annat problem är buggar och en del buggar utgör en attackyta som hackers kan utnyttja och det exemplet är CoolPreviews. Detta tillägg hanterade inte vissa hyperlänkar korrekt om dem skrevs på ett speciellt sätt vilket innebar att det gick att skjuta in javascript som kördes på klienten och som då kunde ta över datorn.

Dessa två ovan är relativt vanliga exempel som dagligen dyker upp i olika former (virus/trojaner/sårbarheter) som attackerar redan befintliga datorer och installerade program men vad händer den dagen en utvecklare blir hackad och när denna hacker publicerar en uppdatering till låt säga Adblock Plus?

De flesta av oss tar utan vidare emot uppdateringar av våra tillägg utan att fungera en sekund, det är normalt. Vi valde vid första installationstillfället att lita på utvecklaren och vidare uppdateringar ser man endast som bonus, att programmet blir bättre med nya utökade funktioner.

Låt säga att Adblock Plus med sina 10 miljoner unika installationer blir föremål för en hacker precis som UnrealIRCd, det behöver inte ta 7 månader att upptäcka, det räcker med en dag, eller ett par timmar för att en enormt stor del av användarbasen har uppdaterat och fått sina datorer smittade. Låt säga att det är just användarnamn och lösenord som finns sparade i Firefox som är målet. Då är det inte bara Windows utan alla plattformar som kan köra Firefox som är såbara.

Detta gäller inte enbart Firefox, det gäller i princip alla mjukvaror som på ett eller annat sätt uppdaterar sig. Det ställer enorma krav på utvecklarna och dem som publicerar dessa uppdateringar att säkra sina system så ingen utifrån kan ta sig in och manipulera den data som sedan skjuts ut till klienterna. Självklart är vi själva ytterst ansvariga att se till att våra system är säkra men detta kommer att ställa till det ordentligt för någon dag sker ett misstag och då kommer vi få en överraskning vi helst hade varit utan.

– Johan Ryberg

Källa:
https://addons.mozilla.org/en-US/statistics/
http://forums.unrealircd.com/viewtopic.php?t=6562
http://blog.mozilla.com/addons/2010/07/13/add-on-security-announcement/

Återgå till toppen