Adobe Flash Player Multiple Vulnerabilities
Description Multiple vulnerabilities have been reported in Adobe Flash Player, which can be exploited by malicious people to disclose sensitive information, bypass certain security restrictions, or compromise a user's system. 1) An unspecified error can be exploited to execute arbitrary code. NOTE: The vulnerability is currently being actively exploited. 2) An input validation error can be exploited to bypass cross-domain policy file restrictions when certain server encodings are being used. 3) An unspecified error in the "Flash10h.ocx" ActiveX control can be exploited to corrupt memory and potentially execute arbitrary code. 4) An unspecified error can be exploited to disclose potentially sensitive information. Successful exploitation of this vulnerability is limited to the Macintosh platform and the Safari browser. 5) An unspecified error can be exploited to cause a crash and potentially execute arbitrary code. 6) Multiple unspecified errors can be exploited to corrupt memory and potentially execute arbitrary code. 7) An error due to loading libraries in an insecure manner can be exploited to load arbitrary libraries by tricking a user into e.g. opening a file located on a remote WebDAV or SMB share. Successful exploitation of this vulnerability may allow execution of arbitrary code. Solution Update to a fixed version. Further details available in Customer Area Provided and/or discovered by 1) Reported as a 0-day. 3) Xiaopeng Zhang, Fortinet's FortiGuard Labs 7) Simon Raner, ACROS Security The vendor credits: 2) Tokuji Akamine, Symantec Consulting Services Japan 4) Erik Osterholm, Texas A&M University 5) Matthew Scott Bergin of Smash The Stack and Bergin Pen. Testing 6) Will Dormman, CERT/CC. Changelog Further details available in Customer Area Original Advisory Adobe: http://www.adobe.com/support/security/advisories/apsa10-05.html http://www.adobe.com/support/security/bulletins/apsb10-26.html Mila Parkour: http://contagiodump.blogspot.com/2010/10/potential-new-adobe-flash-player-zero.html ACROS Security: http://www.acrossecurity.com/aspr/ASPR-2010-11-05-1-PUB.txt Fortinet's FortiGuard Labs: http://archives.neohapsis.com/archives/fulldisclosure/2010-11/0038.html Other references Further details available in Customer Area Deep Links Links available in Customer Area

Description
Multiple vulnerabilities have been reported in Adobe Flash Player, which can be exploited by malicious people to disclose sensitive information, bypass certain security restrictions, or compromise a user's system.

1) An unspecified error can be exploited to execute arbitrary code.

NOTE: The vulnerability is currently being actively exploited.

2) An input validation error can be exploited to bypass cross-domain policy file restrictions when certain server encodings are being used.

3) An unspecified error in the "Flash10h.ocx" ActiveX control can be exploited to corrupt memory and potentially execute arbitrary code.

4) An unspecified error can be exploited to disclose potentially sensitive information.

Successful exploitation of this vulnerability is limited to the Macintosh platform and the Safari browser.

5) An unspecified error can be exploited to cause a crash and potentially execute arbitrary code.

6) Multiple unspecified errors can be exploited to corrupt memory and potentially execute arbitrary code.

7) An error due to loading libraries in an insecure manner can be exploited to load arbitrary libraries by tricking a user into e.g. opening a file located on a remote WebDAV or SMB share.

Successful exploitation of this vulnerability may allow execution of arbitrary code.

Solution
Update to a fixed version.
Further details available in Customer Area

Provided and/or discovered by
1) Reported as a 0-day.
3) Xiaopeng Zhang, Fortinet's FortiGuard Labs
7) Simon Raner, ACROS Security

The vendor credits:
2) Tokuji Akamine, Symantec Consulting Services Japan
4) Erik Osterholm, Texas A&M University
5) Matthew Scott Bergin of Smash The Stack and Bergin Pen. Testing
6) Will Dormman, CERT/CC.

Changelog
Further details available in Customer Area

Original Advisory
Adobe:
http://www.adobe.com/support/security/advisories/apsa10-05.html
http://www.adobe.com/support/security/bulletins/apsb10-26.html

Mila Parkour:
http://contagiodump.blogspot.com/2010/10/potential-new-adobe-flash-player-zero.html

ACROS Security:
http://www.acrossecurity.com/aspr/ASPR-2010-11-05-1-PUB.txt

Fortinet's FortiGuard Labs:
http://archives.neohapsis.com/archives/fulldisclosure/2010-11/0038.html

Other references
Further details available in Customer Area

Deep Links
Links available in Customer Area

Internet Explorer CSS Tag Parsing Code Execution Vulnerability
Description A vulnerability has been reported in Internet Explorer, which can be exploited by malicious people to compromise a user's system. The vulnerability is caused due to insufficient memory being allocated to store a certain combination of CSS (Cascading Style Sheets) tags. This can be exploited to overwrite a byte in a virtual table pointer and call into user-controlled data in memory via a specially crafted web page. Successful exploitation allows execution of arbitrary code. NOTE: The vulnerability is currently being actively exploited. Solution Apply a custom CSS to override website CSS styles (please see the Microsoft advisory for details). Provided and/or discovered by Reported as a 0-day. Changelog Further details available in Customer Area Original Advisory Microsoft: http://www.microsoft.com/technet/security/advisory/2458511.mspx http://blogs.technet.com/b/msrc/archive/2010/11/02/microsoft-releases-security-advisory-2458511.aspx http://blogs.technet.com/b/srd/archive/2010/11/03/dep-emet-protect-against-attacks-on-the-latest-internet-explorer-vulnerability.aspx Other references Further details available in Customer Area Deep Links Links available in Customer Area

Internet Explorer CSS Tag Parsing Code Execution Vulnerability

Description
A vulnerability has been reported in Internet Explorer, which can be exploited by malicious people to compromise a user's system.

The vulnerability is caused due to insufficient memory being allocated to store a certain combination of CSS (Cascading Style Sheets) tags. This can be exploited to overwrite a byte in a virtual table pointer and call into user-controlled data in memory via a specially crafted web page.

Successful exploitation allows execution of arbitrary code.

NOTE: The vulnerability is currently being actively exploited.

Solution
Apply a custom CSS to override website CSS styles (please see the Microsoft advisory for details).

Provided and/or discovered by
Reported as a 0-day.

Changelog
Further details available in Customer Area

Original Advisory
Microsoft:
http://www.microsoft.com/technet/security/advisory/2458511.mspx
http://blogs.technet.com/b/msrc/archive/2010/11/02/microsoft-releases-security-advisory-2458511.aspx
http://blogs.technet.com/b/srd/archive/2010/11/03/dep-emet-protect-against-attacks-on-the-latest-internet-explorer-vulnerability.aspx

Other references
Further details available in Customer Area

Deep Links
Links available in Customer Area

Poważny głąd w systemach operacyjnych Firmy Microsoft Windows
W ostatnim czasie głośno jest o poważnej luce w zabezpieczeniach systemów Windows “DLL Preloading Bug”. Powyższa luka pozwala na podrzucenie dowolnej biblioteki dołączanej dynamicznie DLL do systemu operacyjnego i załadowanie jej przy wykorzystaniu dowolnej aplikacji zainstalowanej na komputerze ofiary. Problem leży w samym procesie ładowania biblioteki DLL. Dowolna aplikacja uruchamiana w środowisku Microsoft Windows, wysyłając żądanie załadowania biblioteki nie wskazuje konkretnej lokalizacji powyższej biblioteki (DLL). W systemie Windows biblioteki znajdować się mogą w różnych lokalizacjach np.: ”C:\Windows\system32″, “C:\Windows\system”. Można zatem przypuszczać, iż uruchamiana aplikacja będzie poszukiwać bibliotek w powyższych lokalizacjach systemowych oraz w obrębie katalogu w kontekście którego została uruchomiona. Zatem, aby przeprowadzić udany atak, atakujący musi podrzucić spreparowana bibliotekę DLL z własnym kodem źródłowym. Zwrócimy uwagę, że plik uruchamiający aplikacje nie musi znajdować się na zasobach systemowych komputera ofiary, możemy podrzucić dowolny plik wraz z biblioteką DLL, przy wykorzystaniu nośników np.: USB, CD, DVD, zasób sieciowy. Firma Acros opublikowała informacje, iż ponad 200 aplikacji na platformę Windows jest podatnych na powyższy błąd. Jak się uchronić przed zagrożeniem? Firma Microsoft opublikowała informacje nt. luki wraz z narzędziem, którego można użyć, aby zmodyfikować sposób przeszukiwania systemu plików przy ładowaniu bibliotek. Ponadto zaleca się wykorzystywanie aktualnych wersji aplikacji zainstalowanych na systemie Windows. Dodatkowe informacje: http://www.kb.cert.org/vuls/id/707943 http://www.microsoft.com/technet/security/advisory/2269637.mspx http://support.microsoft.com/kb/2264107

Poważny głąd w systemach operacyjnych Firmy Microsoft Windows

W ostatnim czasie głośno jest o poważnej luce w zabezpieczeniach systemów Windows “DLL Preloading Bug”. Powyższa luka pozwala na podrzucenie dowolnej biblioteki dołączanej dynamicznie DLL do systemu operacyjnego i załadowanie jej przy wykorzystaniu dowolnej aplikacji zainstalowanej na komputerze ofiary.

Problem leży w samym procesie ładowania biblioteki DLL. Dowolna aplikacja uruchamiana w środowisku Microsoft Windows, wysyłając żądanie załadowania biblioteki nie wskazuje konkretnej lokalizacji powyższej biblioteki (DLL). W systemie Windows biblioteki znajdować się mogą w różnych lokalizacjach np.: ”C:\Windows\system32″, “C:\Windows\system”. Można zatem przypuszczać, iż uruchamiana aplikacja będzie poszukiwać bibliotek w powyższych lokalizacjach systemowych oraz w obrębie katalogu w kontekście którego została uruchomiona.
Zatem, aby przeprowadzić udany atak, atakujący musi podrzucić spreparowana bibliotekę DLL z własnym kodem źródłowym. Zwrócimy uwagę, że plik uruchamiający aplikacje nie musi znajdować się na zasobach systemowych komputera ofiary, możemy podrzucić dowolny plik wraz z biblioteką DLL, przy wykorzystaniu nośników np.: USB, CD, DVD, zasób sieciowy.
Firma Acros opublikowała informacje, iż ponad 200 aplikacji na platformę Windows jest podatnych na powyższy błąd.

Jak się uchronić przed zagrożeniem?

Firma Microsoft opublikowała informacje nt. luki wraz z narzędziem, którego można użyć, aby zmodyfikować sposób przeszukiwania systemu plików przy ładowaniu bibliotek. Ponadto zaleca się wykorzystywanie aktualnych wersji aplikacji zainstalowanych na systemie Windows.

Dodatkowe informacje:

Ostrzeżenie o ataku wyłudzającym
03.11.2010 W dniu dzisiejszym , Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL uzyskał informacje o masowo rozsyłanych wiadomościach email mających na celu wyłudzenie informacji dostępowych (adres email, hasło) do kont pocztowych instytucji administracji państwowej (domena gov.pl). Nadawcą wiadomości jest WEBMAIL ADMINISTRATOR (info@webmaster.pl) jako adres zwrotny w celu wysłania odpowiedzi wskazany jest adres email: webaccount@wss-id.org. Temat przedmiotowej wiadomości to: „Uaktualnienie Webmail teraz”. Ponadto dodatkową cechą identyfikującą wiadomość jest fakt braku polskich znaków w treści wiadomości (problem ze stroną kodową) Poniżej znajduje się przykładowa treść wiadomości email otrzymanej przez zespół CERT.GOV.PL: Szanowni Pa?stwo e-mail w?a?ciciela konta, Ta wiadomo?? z poczty centrum wiadomo?ci do wszystkich kont poczty internetowej w?a?cicieli. Jeste?my w trakcie modernizacji naszej bazy danych i konta e-mail centrum. Jeste?my ko?cz?ce wszystkich nieu?ywanych kont e-mail aby utworzy? przestrze? dla nowych kont. Aby zapobiec koncie od wypowiedzenia si?, trzeba b?dzie go zaktualizowa? poprzez dostarczanie informacji wymienionych poni?ej: Potwierd? swój adres e IDENTITY TERAZ E-mail Nazwa u?ytkownika: ............... E-mail Has?o: ............... Uwaga! W?a?ciciela konta, który nie chce zaktualizowa? swoje konto w ci?gu siedmiu dni od otrzymania tego ostrze?enia straci swoje konto na sta?e. Kodeks Uwaga: VX2G99AAJ Dzi?ki, Administrator Webmail. *CERT.GOV.PL zaleca użytkownikom:* nie odpowiadanie i nie przesyłanie pod żadnym pozorem jakichkolwiek informacji dotyczących Państwa danych dostępowych (email, login, hasło) do systemów teleinformatycznych wykorzystywanych w Państwa instytucji. zgłaszanie administratorom sieci oraz osobom odpowiedzialnym za bezpieczeństwo informacji wszelkich nietypowych sytuacji takich jak powyższa. *CERT.GOV.PL zaleca administratorom systemów komputerowych:* Poinformowanie użytkowników sieci o zagrożeniach związanych z zaistniałą informacją. Zgłaszanie do CERT.GOV.PL wszelkich przypadków otrzymania podejrzanych (niezamówionych) przesyłek e-mail. W przypadku dodatkowych pytań prosimy o kontakt z Rządowym Zespołem Reagowania na Incydenty Komputerowe CERT.GOV.PL.

Ostrzeżenie o ataku wyłudzającym

03.11.2010

W dniu dzisiejszym , Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL uzyskał informacje o masowo rozsyłanych wiadomościach email mających na celu wyłudzenie informacji dostępowych (adres email, hasło) do kont pocztowych instytucji administracji państwowej (domena gov.pl).

Nadawcą wiadomości jest WEBMAIL ADMINISTRATOR (info@webmaster.pl) jako adres zwrotny w celu wysłania odpowiedzi wskazany jest adres email: webaccount@wss-id.org. Temat przedmiotowej wiadomości to: „Uaktualnienie Webmail teraz”. Ponadto dodatkową cechą identyfikującą wiadomość jest fakt braku polskich znaków w treści wiadomości (problem ze stroną kodową)

Poniżej znajduje się przykładowa treść wiadomości email otrzymanej przez zespół CERT.GOV.PL:

Szanowni Pa?stwo e-mail w?a?ciciela konta,

Ta wiadomo?? z poczty centrum wiadomo?ci do wszystkich kont poczty internetowej
w?a?cicieli. Jeste?my w trakcie modernizacji naszej bazy danych i konta e-mail
centrum. Jeste?my ko?cz?ce wszystkich nieu?ywanych kont e-mail aby utworzy?
przestrze? dla nowych kont.

Aby zapobiec koncie od wypowiedzenia si?, trzeba b?dzie go zaktualizowa?
poprzez dostarczanie informacji wymienionych poni?ej:

Potwierd? swój adres e IDENTITY TERAZ

E-mail Nazwa u?ytkownika: ...............
E-mail Has?o: ...............

Uwaga! W?a?ciciela konta, który nie chce zaktualizowa? swoje konto
w ci?gu siedmiu dni od otrzymania tego ostrze?enia straci swoje konto
na sta?e.

Kodeks Uwaga: VX2G99AAJ

Dzi?ki,
Administrator Webmail.

CERT.GOV.PL zaleca użytkownikom:

nie odpowiadanie i nie przesyłanie pod żadnym pozorem jakichkolwiek informacji dotyczących Państwa danych dostępowych (email, login, hasło) do systemów teleinformatycznych wykorzystywanych w Państwa instytucji.
zgłaszanie administratorom sieci oraz osobom odpowiedzialnym za bezpieczeństwo informacji wszelkich nietypowych sytuacji takich jak powyższa.

CERT.GOV.PL zaleca administratorom systemów komputerowych:

Poinformowanie użytkowników sieci o zagrożeniach związanych z zaistniałą informacją.
Zgłaszanie do CERT.GOV.PL wszelkich przypadków otrzymania podejrzanych (niezamówionych) przesyłek e-mail.

W przypadku dodatkowych pytań prosimy o kontakt z Rządowym Zespołem Reagowania na Incydenty Komputerowe CERT.GOV.PL.

SkanNet® - monitoring i bezpieczeństwo w sieci

Wyszukiwarka

03.11.2010

W dniu dzisiejszym , Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL uzyskał informacje o masowo rozsyłanych wiadomościach email mających na celu wyłudzenie informacji dostępowych (adres email, hasło) do kont pocztowych instytucji administracji państwowej (domena gov.pl).