En blogg om IT-säkerhet och relaterade ämnen för dem som arbetar inom IT

Även om inte MustLive hittade säkerhetshål i senaste versionen av WordPress så har David Vieira-Kurz från det tyska företaget Majorsecurity gjort det. Han har hittat en XSS-sårbarhet som påverkar den senaste versionen av WordPress 3.0.1 och eventuellt även tidigare versioner. Majorsecurity klassar sårbarheten som mindre allvarlig även om man i teorin kan injicera parametrar till wpadmin/plugins.php så är det inte lätt att hitta lämpliga kandidater men möjligheten finns och därför bör man tills vidare logga ut från WordPress när man besöker andra sidor tills dess att WordPress har säkrat hålet.

– Johan Ryberg

Källa: http://www.majorsecurity.net/wordpress-3-xss.php

Som jag tidigare rapporterade om så skulle den Ukrainska säkerhetsforskaren “MustLive” släppa 8 sårbarheter till WordPress men inga av dessa gällde 3.0. De flesta gällde den äldre versionen 2.5 och som vanligt bör man alltid hålla sig uppdaterad så använder ni inte 3.0.1 är det hög tid för att uppgradera.

För den som vill läsa mer kan läsa via Google Translate direkt från källan: http://translate.google.com/translate?hl=en&u=http://websecurity.com.ua/4420/&sl=uk&tl=en

– Johan Ryberg

Idag rapporterade Kaspersky Lab att dem hittat den första Androidtrojanen som skickar SMS. Vad jag vet är det den första trojanen över huvud taget som det har rapporterats om och det var väl bara väntat att skadliga program även skulle komma till Android då det är den mest växande plattformen just nu.

Denna trojan ser ut som en mediaspelare och redan under installationstillfället bör ögonbrynen höjts för dem som installerat då den kräver tillstånd för att utnyttja tjänster som kostar pengar och denna just att få skicka SMS.

De SMS som skickas är dessutom betal-SMS som kostar 5$ men det bör inte påverka oss i Sverige då dem skickas till två kortnummer 3353 och 3354 och då gäller det att våra operatörer har registrerat dessa samt att de kostar pengar och den chansen är inte så stor.

Hur som helst är det verkligen dags att installera applikationer oavsett källa med stor försiktighet och noggrant gå igenom vilka krav på funktioner som applikationen kräver för att fungera och känns det fel för vad du förväntar dig så installera inte applikationen, välj någon liknande som inte kräver lika mycket då det ofta finns alternativ.

– Johan Ryberg

Källa:

• http://www.securelist.com/en/blog/2254/First_SMS_Trojan_for_Android

Nyss delgav MustLive via Full-Disclosure (som jag skrev om för ett par dagar sedan) att han hittat 8 sårbarheter i WordPress vilket han snart kommer att gå ut med. Det skall bli spännande att se om dem gäller den nya motorn 3.0.1 eller om det gäller äldre installationer.

Om det gäller 3.0.1 så lär det bli bråda dagar att säkra sina installationer.

Uppdatering kommer så fort som möjligt.

– Johan Ryberg