14
Security News 2015.03.19 Borys Łącki [email protected]

Security news vol. 4 - 20150319 - Risk & Technology Wrocław Group

Embed Size (px)

Citation preview

Security News

2015.03.19

Borys Łącki [email protected]

https://mta.openssl.org/pipermail/openssl-users/2015-March/000778.htmlhttps://www.openssl.org/news/secadv_20150319.txt

Forthcoming OpenSSL releases============================

The OpenSSL project team would like to announce the forthcoming releaseof OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf.

These releases will be made available on 19th March. They will fix anumber of security defects. The highest severity defect fixed by thesereleases is classified as "high" severity.

Yours

The OpenSSL Project Team

19-Mar-2015: Security Advisory: twelve security fixes

http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Exploitation-at-its-Finest/ba-p/6708265

Pwn2Own 2015

3 bugs in Adobe Reader3 bugs in Adobe Flash3 bugs in the Windows operating system2 bugs in Internet Explorer 112 bugs in Mozilla Firefox$317,500 USD bounty paid out to researchers

Windows-based targets:Google Chrome (64-bit): $75,000Microsoft Internet Explorer 11 (64-bit with EPM-enabled): $65,000Mozilla Firefox: $30,000Adobe Reader running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000Adobe Flash (64-bit) running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000

Mac OS X-based targets:Apple Safari (64-bit): $50,000

http://zaufanatrzeciastrona.pl/post/ty-tez-mogles-dostac-swoj-wlasny-certyfikat-ssl-dla-domeny-microsoftu/

live.fi (Microsoft) – Comodo SSL Fail

http://www.bgpmon.net/what-caused-the-google-service-interruption/http://research.dyn.com/2015/03/uk-traffic-diverted-ukraine/

BGP redirect – (Google, British Telecom) - FAIL

https://freakattack.com/

FREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204) is a weakness in some implementations of SSL/TLS that may allow an attacker to decrypt secure communications between vulnerable clients and servers.

http://www.chiark.greenend.org.uk/~sgtatham/putty/changes.htmlhttp://zaufanatrzeciastrona.pl/post/blad-windows-uzyty-w-stuxnecie-nie-byl-prawidlowo-zalatany-od-5-lat/

Security fix: PuTTY no longer retains the private half of users' keys in memory by mistake after authenticating with them. See private-key-not-wiped-2. (Sorry! We thought we'd fixed that in 0.63, but missed one.)

Podstawową bronią Stuxnetu był błąd w przetwarzaniu plików LNK (СVE-2010-2568), który pozwalał infekować każdy komputer, do którego został podłączony zarażony napęd USB.

http://avlab.pl/wpadki-antywirusow-aktualizacja-sygnatur-pandy-mogla-spowodowac-uszkodzenie-systemu

Panda AV - FAIL

● McAfee, który unieruchomił ponad 800 tysięcy komputerów przenosząc do kwarantanny plik svchost.exe,

● Autodestrukcja Bitdefendera, który podobnie postępował z własnymi plikami i plikami systemu Windows,● Także ESET wydając niepoprawną aktualizację doprowadził do zasypywania użytkowników błędami,● Comodo, które samo uznało swój serwis weryfikacji SSL za niegodny zaufania,● F-Secure omyłkowo infekował komputery w Wielkiej Brytanii,● Malwarebytes Anti-Malware wykrywał samego siebie jako zagrożenie,● Sophosh, który usunął swój moduł aktualizacji,● Trend Micro identyfikował niektóre pliki systemowe jako trojany● Avira, która Windowsy wyłączyła.

SQL Injection over SIP

http://zaufanatrzeciastrona.pl/post/polaczeniami-telefonicznymi-do-sqli-czyli-jak-hakuja-prawdziwi-mistrzowie/

http://googleprojectzero.blogspot.com/2015/03/exploiting-dram-rowhammer-bug-to-gain.html

Exploiting the DRAM rowhammer bug to gain kernel privileges

“Rowhammer” is a problem with some recent DRAM devices in which repeatedly accessing a row of memory can cause bit flips in adjacent rows. We tested a selection of laptops and found that a subset of them exhibited the problem. We built two working privilege escalation exploits that use this effect.

HTTP Strict Transport Security comes to Internet Explorer

Strict-Transport-Security: max-age=15552000; preload

There are two important changes that impact users on sites using HSTS. First, when there is a certification error with a HSTS server, the

user will not be able to click through and ignore the certificate error; they must abort their connection. Second, mixed content is not supported on servers supporting HSTS; all the content must be secure.

http://blogs.msdn.com/b/ie/archive/2015/02/16/http-strict-transport-security-comes-to-internet-explorer.aspx

Google przez pomyłkę ujawniło ukryte dane właścicieli 280 tysięcy domen

http://zaufanatrzeciastrona.pl/post/google-przez-pomylke-ujawnilo-ukryte-dane-wlascicieli-280-tysiecy-domen/

Największa szwedzka gazeta zaliczyła właśnie spektakularną wpadkę. W poradniku opisującym, jak

szyfrować za pomocą PGP poufne materiały przesyłane do redakcji, załączyła przez przypadek swój klucz

prywatny. I to nie pierwszy raz.

http://zaufanatrzeciastrona.pl/post/jak-bezpiecznie-szyfrowac-poczte-pgp-a-oto-nasz-klucz-prywatny/

Kontakt

Borys Łącki [email protected]