Nya risker med Safari

20 maj kl 13:14, 2008

Skrivet av artylon under kategorin Säkerhetsbrister | 0 Kommentarer | Permalink

Säkerhetsexperten Nitesh Dhanjani har han tagit kontakt med Apple om alla tre buggarna och fått positiv respons på en av dem. Det gäller en bugg som låter en angripare stjäla filer från en användares dator via Internet. Apple har svarat att det tar den buggen på allvar och arbetar med att åtgärda den. Så den berättar han inga detaljer om.

Men de andra två buggarna menar han att Apple struntar i. Så för att sätta lite eld i baken på Apple så har han publicerat detaljer om hur de kan användas för att ställa till problem för en användare.

Den första buggen kallar han Safari Carpet Bomb. Enligt honom gör den det möjligt för en skadlig webbsida att fylla besökarens skrivbord med skadlig kod på en Windows dator. Om Safari-användaren kör Mac OS X hamnar filerna i katalogen Downloads. Problemet är att det gör det utan att fråga användaren om denne vill ha några filer nedladdade. Dhanjanis slutsats är att detta är ett sätt som öppnar för angripare att föra över massvis med skadliga filer till användarens dator.

Apples svar gick ut på att det nog skulle vara en bra idé att systemet frågar användaren. Men att det nog inte är så farligt.

Det andra förslaget till förbättring som Apple prioriterat ner, är att sandlådan som ska kolla om HTML-kod är skadlig inte är kopplad till de lokala resurserna. I sitt svar till Dhanjani säger Apple att det nog behöver tänka en stund.


Källa: Nitesh Dhanjanis blogg

Svensk site om säkerhet hackad.

19 maj kl 20:16, 2008

Skrivet av artylon under kategorin Nyheter | 0 Kommentarer | Permalink

Ibland är världen rätt ironisk. Vad sägs om en webbplats om en utbildning i informationssäkerhet - som blir hackad och innehöll skadlig kod.


VHS sajt om lediga studieplatser infekterades genom en SQL-injektion. På webbplatsen låg sen ett javascript som pekade på domänen www.nihaoel3.com. En uppmärksam läsare tipsade IDG om detta. De ringde runt lite och kunde konstatera att alla delar av högskoleväsendet inte går helt i takt. Efter ett par timmar stod det dock klart att det faktiskt var en äkta sajt och inte en bluff-sajt som satts upp av bedragare för att lura studenter.


Per Zettervall är IT-chef på Verket för Högskoleservice,VHS. Han bekräftar att VHS hackats genom en brist i SQL-hanteringen.
- Det ska vara till täppt nu och är rapporterat till incidenthanteringen hos Umdac som kör sajten, säger han.
Den sida som javascriptet pekade på är registrerad i Kina.
- Hela databasen var korrupt men det fanns en frisk kopia från 15 maj som vi rullade tillbaka till.

Microsoft Internet Explorer "Skriv ut en länktabell" Cross Zone Script Injection Vulnerability

17 maj kl 12:01, 2008

Skrivet av artylon under kategorin Säkerhetsbrister | 0 Kommentarer | Permalink

Microsoft Internet Explorer är utsatt för en "script-injection" sårbarhet eftersom det inte på ett tillfredsställande sätt kontrollerar användar leverad indata vid utskrift en tabell med länkar.

Angripare kan utnyttja detta problem genom att locka en intet ont anande användare att inleda utskriften samtidigt som du ser en särskilt utformad sida. Lyckad exploits kommer att orsaka skadlig skriptkod att köras i zonen "Lokal dator" i offrets dator.

Internet Explorer 7.0 och 8.0b är utsatta, och andra versioner kan också påverkas.

Rapporter visar att framgångsrika "exploits" i Windows Vista plattformar som kör UAC, kan endast orsaka  utlämnandet av information.

Nuvarande länkar hos Yahoo!

17 maj kl 11:51, 2008

Skrivet av artylon under kategorin Annat smått och gott | 0 Kommentarer | Permalink

Jaha... Då var det dags igen, fast nu hittade jag en liten cool widget hos Yahoo! men man somvanligt inte lägga den i menyn, eftersom att den inte stöder javascript,iframe med mera, så det får bli som ett inlägg igen.

Den här gången handlar det om hur många länkar man har hos sökmotorn Yahoo!

Links to Page