Tag Archives: webbläsare

Säkerhetsradion: Sårbarhet i Internet Explorer

En lucka i webbläsaren Internet Explorer kan göra att en attackerare kan se musrörelser samt eventuellt vad man skriver på virtuella tangentbord och knappsatser. Microsoft har varit medvetna om problemet sedan ett par månader tillbaka, men ingen lagning har ännu gjorts för att komma till rätta med problemen. I dagens podcast pratar vi mer om fenomenet.

Mozilla Firefox 16 drogs tillbaka efter upptäckt säkerhetshål

Bara dagen efter att Mozilla släppt sin senaste uppdatering till webbläsaren Firefox valde man att tillfälligt ta bort version 16 av den populära webbläsaren. Från Mozillas håll varnades det om ett säkerhetshål som fanns med i releasen och som potentiellt kunde utnyttjas till att se vilka webbplatser som användaren har besökt. Det fanns även möjlighet att komma över URL-parametrar. Dock var Mozilla väldigt tydliga med att påpeka att det inte finns några belägg för att någon hunnit utnyttja hålet.

Om en angripare kommit åt URL-parametrar så kan denne genom att använda JavaScript, öppna andra fönster till användarens skyddade webbplatser, såsom Twitter- och Facebookkonton, bankkonton och liknande. I vanliga fall skulle webbläsaren skicka ett meddelande om nekad åtkomst, men Firefox 16 har släppt igenom dessa.

Tidigare har flera webbläsare lidit av problem där angripare kan komma över information om webbhistoriken genom att manipulera CSS som ser till att besökta länkar visas i en annan färg än länkar som redan besökts. De luckorna har täppts till i takt med att webbläsarna utvecklats och mer tid lagts på att försvåra för angriparna.

Rådet från Mozilla till sina användare blev att vänta med att uppgradera sina webbläsare tills problemet är åtgärdat och om möjligt, nedgradera till äldre versioner som Firefox 15.0.1 för att på så sätt undvika öppna dörrar.

Säkerhetsradion: Säkerhetshålet i Internet Explorer

För några veckor sedan var det dags för webbläsaren Internet Explorer att hamna i trubbel igen. I dagens podcast pratar vi mer om vad som hände, hur man skyddar sig och varför webbläsaren fortsätter vara så populär trots en del strul bakom sig.

Google dumpar Pwn2Own

Hackartävlingen Pwn2Own blir utan Googles sponsorpengar i år, skriver PC för alla. Orsaken är en regeländring, deltagarna behöver inte längre redovisa säkerhetproblemen de hittar. Inte bra tycker Google, av förklarliga skäl.

Google har tidigare sponsrat tävlingen med en stor prissumma till den som lyckas hacka webbläsaren Google Chrome, pengar som mig veterligen inte har tagits hem av någon deltagare än. Nu ska man istället ha en egen tävling.

Ny trojan infekterar NTFS-loader, använder ”väldigt snygga” trick för att lura användaren att betala

Kaspersky Lab rapporterar om en ny trojan som hittats, ”Cidox”. Istället för att ”bara” infektera MBR som några andra välspridda rootkits så infekterar den NTFS IPL (Initial Program Loader). Den koden den byter ut är den som startar upp resten av systemet (”bootmgr” i Vista och nyare operativsystem, och ”ntldr” i tidigare versioner). Trojanen infekterar endast partitioner som har NTFS som filsystem.

Detta innebär att det kan vara svårare, i alla fall för tillfället, för antivirusprogram att rensa ett infekterat system.

När datorn sedan bootar om så startar den sina egna drivrutiner för att utföra resten av sin skadliga kod. Det den här versionen av trojanen gör är att den söker efter webbläsarna Firefox, Chrome och Opera. Om användaren startar webbläsaren så ser trojanens drivrutin till att den laddar in ytterligare skadlig kod i webbläsaren i form av en DLL-fil.

Användaren får sedan upp en väldigt ”snygg” varning i sin webbläsare om att den behöver säkerhetsuppdateringar:

Cidox-trojan

Cidox-trojanens varning i Firefox

Detta exempel är på ryska, men jag kan lätt tänka mig att användare kan luras av detta (så länge som språket är samma som i deras webbläsare). Man märker att de har lagt ner tid på att få varningen att se verklig ut. I Opera och Chrome så ser varningarna annorlunda ut.

Det som händer när man väljer att ”uppdatera” sin webbläsare från varningen är att trojanen uppmanar användaren att skicka ett SMS med en kod till ett betalnummer, och på så sätt tjänar skaparen av trojanen pengar.

Detta visar på ett nytt sätt att få sin skadliga kod att starta automatiskt, och även att de har lagt ner tid på att få det att se äkta ut.

Förhoppningsvis så vet personerna som har installerat sina webbläsare att de inte behöver betala eller skicka SMS för att få hem uppdateringar till dem..

Hotrapport maj: Skadlig kod sprids via webbsidor

Efter en paus är det dags att börja ta upp de månatliga hotrapporterna från ESET. Diagrammet nedan visar de fem hot, virus och infektioner som var vanligast i Sverige under maj månad. Statistiken kommer från ThreatSense, det system som ESET använder för att kontinuerligt samla in information om angrepp och infektioner världen över.


Tre av topp 5-hoten i maj handlar om skadlig kod som sprids via infekterade legitima sidor eller försök att göra detta. Det är ett problem som varit ganska omfattande under en period och med stor sannolikhet kommer det att förvärras. Tråkigt nog är det alltså så att det går att få pålitliga sidor att sprida skadlig kod. Det sker antingen genom att de hackas eller med hjälp av infekterade annonser. En sådan dyker ofta upp på sajter genom annonsnätverk och kan vara programmerad att skicka webbläsaren vidare till sidor som innehåller skadlig kod till exempel var hundrade gång den visas.

  1. JS/Redirector.NID är en trojan som skickar webbläsaren till en URL som innehåller skadlig kod. Koden är oftast inbakad i manipulerad HTML på legitima webbsidor som hackats. Som namnet antyder använder JS/Redirector JavaScript, oftast obfuskerad, för att för att skapa hänvisningen till den infekterade sidan. Det här gör den för att ladda upp och köra skadlig programvara på klientdatorn, ett mycket vanligt sätt att sprida skadlig kod.
  2. HTML/Iframe.B.Gen är det allmänna namnet för Iframe-taggar med skadlig kod som bäddas in i HTML-sidor. Koden som bäddats in kan exempelvis utnyttja säkerhetshål för att köra skadlig kod automatiskt när användaren besöker sidan.
  3. Win32/Patched består av en rad olika infektioner som ändrar i systemfiler. Vissa standardprogram i Windows kan också påverkas, till exempel Anteckningar och Kalkylatorn. En tidigare frisk fil får ett tillskott av skadlig kod och filer som har patchats på det här sättet ändrar sitt beteende, antingen för att kunna underlätta spridningen av skadlig kod, eller också för att det ska vara ännu svårare att upptäcka den skadliga koden.En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.
  4. Win32/RegistryBooster är egentligen inte skadlig kod, utan det vi brukar kalla ett potentiellt oönskat program.
  5. HTML/ScrInject.B.Gen är samlingsnamn för detektioner av infekterade HTML-sidor som innehåller dolda skript eller Iframe-taggar som skickar webbläsaren till skadlig kod.

 

Fransk firma går runt sandlådan i Google Chrome

Den franska säkerhetsfirman Vupen har hittat hittills okända säkerhetshål i webbläsaren Google Chrome och har lyckats ta sig förbi sandlådan i programmet. Företaget har gjort en video som visar hur hacket går till.

Företag som Vupen hittar säkerhetshål för sina kunders räkning, det är helt enkelt information som företag och regeringar med riktigt små marginaler behöver. De kommer alltså inte att släppa ut detta på öppna marknaden och Google kommer snabbt att hitta hålen själva och täppa till dem.

Computer Sweden skriver: ”En talesman för Google uppger att företaget ännu inte kunnat verifiera om Vupens uppgifter stämmer. Skulle det visa sig att uppgifterna stämmer så kommer Google släppa en uppdatering så snart den är färdig.”

Lyssna på vår podcast om Chrome 10, som var den första versionen av Chrome med sandboxingfunktion: Säkerhetsradion: Chrome 10 kör Flash i sandlåda.

Säkerhetsradion: Hur funkar certifikat och validering?

I samband med attacken mot marknadsföringsföretaget Epsilon för någon dryg vecka sedan dök jag på en del råd om att att nätsurfare ska hålla koll på det gröna adressfältet. Många webbläsare visar nämligen en grön ruta i adressfältet när en webbplats är ”validerad”, men det behöver egentligen inte betyda så värst mycket.

Därför handlar veckans podcast om certifikat och validering.

Hackare lyckades skapa falska krypteringscertifikat för stora webbplatser!

Någon har lyckats hacka sig in hos Comodo, ett företag som bland annat levererar TLS/SSL-certifikat. Hackaren lyckades skapa egna certifikat för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Med hjälp av certifikaten kan attackeraren utföra så kallade man-in-the-middle-attacker utan att användaren märker någonting. Användaren loggar in på exempelvis Gmail krypterat, men attackeraren (som måste ha tillgång till användarens dator, eller till datatrafiken mellan användaren och servern) kan utan problem ligga som ”mellanhand” och läsa all trafik genom att använda sitt egna giltiga krypteringscertifikat istället.

Bloggaren ioerror (Jacob Appelbaum) på The Tor Project upptäckte att både Chromium och Firefox lade till svartlistade certifikat i sina uppdateringar, utan förklaring till varför de stoppade certifikaten, eller vilka certifikat det var.

Efter ett tag uppdagades det att anledningen var att företaget Comodo hade hackats, och giltiga krypteringscertifikat hade skapats för olika välkända webbplatser. Även Microsoft har släppt uppdateringar för att stoppa de certifikat som skapades.

Mozilla och Comodo har släppt information om incidenten på sina hemsidor. Attackeraren verkar ha kommit från Iran (eller i alla fall haft en hackad dator där som han gick via).

Ioerror påpekar i sin blogg att detta visar på sårbarheten med certifikat, och hur dåligt webbläsare har implementerat återkallning av certifikat.

Tillgång till dessa certifikat är ovärderliga för exempelvis ”övervakande stater”, som obehindrat kan övervaka även krypterade anslutningar (HTTPS) och inloggningar i hela landet.

Säkerhetsradion – Chrome 10 kör Flash i sandlåda

Veckans podcast handlar om webbläsare och säkerhet, ett ämne som nog borde diskuteras oftare än det gör. Det går inte att komma ifrån att man tillbringar mycket tid i sällskap med webbläsare.

Nyheterna i detta ämne förra veckan. Google kom med en skarp version av Chrome 10, väldigt tätt inpå att Chrome 9 kom ut – den största nyheten är att Flash numera körs i en sandbox – lyssna på podcasten om du vill veta mer.

Ungefär samtidigt gick hackartävlingen Pwn2Own av stapeln i Kanada, och bland andra SvD rapporterar om att Chrome klarade sig oskatt, kanske på grund av att Google patchade en hel del brister strax innan tävlingen.