Internet Explorer Zero-Day Exploit Used in Targeted Attacks
Microsoft i går varslet av et nytt angrep pågår mot en feil i ActiveX-kontrollen for stillbildeviseren for Microsoft Access, brukt av IE. Det er ikke noe lapp tilgjengelig for nulldagens sikkerhetshull, og angrepene sannsynligvis fokuserer på forretningsmål.
I sin sikkerhetsrådgivning sier Redmond at den sårbare kontrollen installeres med "alle støttede versjoner av Microsoft Office Access med unntak av Microsoft Office Access 2007. ActiveX-kontrollen leveres også med det frittstående stillbildevisningsprogrammet. " En forgiftet nettside som utnytter hullet, kan surreptiøst laste ned skadelig programvare til en offer PC.
"Aktive målrettede angrep" pågår i en relativt liten skala, ifølge rådgivningen. Målrettede angrep involverer vanligvis mer forsiktig planlegging og utforming, og kan bruke et offers navn og tittel i en sosialt utviklet e-post med en link til et skadelig nettsted, for eksempel. Jeg ser vanligvis bare målrettede angrep mot bedrifter, som passer til sikkerhetsproblemet i Microsoft Access. Så pass på dette mens du er på jobb.
US-CERT sårbarhetsrapporten inspirerer ikke håp: "Vi er for øyeblikket uvitende om en praktisk løsning på dette problemet. " Du kan angi det som er kjent som en drepebit for denne bestemte ActiveX-kontrollen for å forhindre at den kjører i IE, men det kan forhindre deg i å se tilgangsrapport-snapshots, og det innebærer å knuse med Windows-registret. Se denne Microsoft-støttesiden for instruksjoner om drapbit (CLSID er i sikkerhetsrådgivningen).
US-CERT-rapporten sier også at IE 7s ActiveX-innloggingsfunksjon skal bidra til å redusere sikkerhetsproblemet, som Microsoft-rådgiveren overraskende ikke gjør " ikke nevne. Det bør bety at du vil få en melding før du kjører kontrollen på en forgiftet side, og ville ha en sjanse til å stoppe den før den angrep datamaskinen.
Hvis du har valget, kan det være lurt å bruke Firefox til dette hullet er løst. Og hvis du fortsatt er på IE 6 på jobb, hamre på IT for å få deg oppgradert. Hver sikkerhetsekspert jeg snakker med, sier at du i utgangspunktet ber om det hvis du surfer på nettet med den utdaterte nettleseren. Hvis det er en egen intern app som bare fungerer med IE 6, bruker du Firefox som standard nettleser, og bare slår opp IE 6 for den gamle appen.
Tilgang Registrering - Påkrevd Nettsteder Uten Opp Opp Kontakinfo
Installer en Firefox BugMeNot-utvidelse for å logge deg på nettsteder uten registrering.
1. SOCIALE ENGINEERING STORER OPP. Sosialteknikk, handlingen med å lure folk til å gi opp sensitiv informasjon, er ikke noe nytt. Kevin Mitnick overtalte hackeren gjorde et navn for seg selv av kaldkalkende medarbeider hos store amerikanske selskaper og snakket om å gi ham informasjon. Men dagens kriminelle har en heyday med e-post og sosiale nettverk. En velskrevet phishing-melding eller virusbelastet spamkampanje er en billig og effektiv måte for kriminelle å få de dataene de trenger.
2. Målte takter er på vei opp. Northrop Grumman rapporterte nylig at Kina var "sannsynlig" å stjele data fra USA i en "langsiktig, sofistikert nettverksutnyttelseskampanje." Sikkerhetseksperter har lagt merke til at kriminelle var "spyd phishing" - å få trojanske hesteprogrammer til å kjøre på offerets datamaskin ved å bruke nøye utformede e-postmeldinger. Brukes til å stjele intellektuell eiendom og statshemmeligheter, er spyd phishing nå overalt.
SAP Reports Inntekt opp 12 Prosent, Opptjening opp 15 Prosent
SAP rapporterte en økning på 15 prosent fra år til år Andre kvartal, på omsetningen opp 12 prosent.