McAfee har upptäckt en sårbarhet i McAfee Agent (MA) extension

Posted on May 7, 2013 by Kenneth Höglund

***** NSEC Information Service – McAfee *****

Datum: 2013-05-07

Beskrivning:

McAfee har upptäckt en sårbarhet i McAfee Agent (MA) extension. Påverkade versioner är:

MA 4.5.0-4.5.6
MA 4.6.0-4.6.3

Lösning:

Checka in MA extension 4.8 i ePO. MA extension 4.8 är bakåtkompatibel med 4.5 och 4.6.

Fullständig beskrivning från McAfee:

McAfee has discovered and resolved a vulnerability in the following versions of the ePolicy Orchestrator (ePO) Extension for McAfee Agent (MA):

Affected Product Extension Versions
• MA 4.5.0 (RTW) to MA 4.5.0 Patch 3 Extension
• MA 4.6.0 (RTW) to MA 4.6.0 Patch 3 Extension

NOTE: The MA 4.8.0 Extension and later are not affected.

Impact
CVE-2013-0140 – VESVM-2013-001 (CVSS: 6.2 Severity: High) is a server-side pre-authenticated SQL Injection vulnerability within the Agent-Handler component (Agent-Server communication channel). A successful exploit can allow remote code execution (RCE).

Remediation
McAfee recommends that all customers verify that they have applied the latest updates. Affected users should install the relevant patches or hotfixes.
Patch the currently supported versions of the ePO Extension for MA before version 4.8.

NOTE: The 4.8 Extension is backwards-compatible with MA 4.5 and 4.6. There is no 4.7 version. A separate 4.6 hotfix is being developed for customers who are unable to upgrade to the MA 4.8 Extension.

For full remediation instructions, see SB10043:

https://kc.mcafee.com/corporate/index?page=content&id=SB10043

NIS
NSEC Network Security

Två sårbarheter har upptäckts i ePO

Posted on May 6, 2013 by Kenneth Höglund

***** NSEC Information Service – McAfee *****

Datum: 2013-05-06

Två sårbarheter har upptäckts i ePO. Rekommenderad åtgärd är att så snart som möjligt uppgradera till senaste version av ePO enligt nedanstående.

ePO 4.6.0-4.6.5 – Uppgradera till ePO 4.6.6
ePO 4.5.0-4.5.6 – Uppgradera till ePO 4.5.7 (ePO 4.5.7 är planerad att släppas i mitten av maj, rekommenderad åtgärd till dess är att installera hotfix 130410)
ePO 5.0 omfattas inte av sårbarheten.

För fullständig information runt detta se nedanstående bulletin från McAfee.

Two vulnerabilities in McAfee ePolicy Orchestrator (ePO) have been discovered and resolved.

Affected Product Versions
• ePO 4.5 (RTW) to ePO 4.5.6
• ePO 4.6 (RTW) to ePO 4.6.5

Protected Versions
These products are NOT affected:
•         ePO 4.5.7 (or later)
•         ePO 4.6.6 (or later)
•         ePO 5.0 (or later)

Impact
• VESVM-2013-001 (CVSS: 6.2; Severity: High) is a server-side pre-authenticated SQL Injection within the Agent-Handler component (Agent-Server communication channel) that, if exploited, can lead to remote code execution (RCE).
• VESVM-2013-002 (CVSS: 3.4; Severity: Low) is a server-side pre-authenticated directory path traversal within a file upload process that, if exploited, can lead to an arbitrary file upload under the ePO installation folder.

Recommendation
McAfee recommends that all customers verify that they have applied the latest updates. Impacted users should install the relevant patches or hotfixes.

For full instructions and information, see McAfee KnowledgeBase article SB10042, McAfee Security Bulletin – ePO update fixes two vulnerabilities reported by Verizon (https://kc.mcafee.com/corporate/index?page=content&id=SB10042)

NIS
NSEC Network Security

E-mail: info@nsec.se
T-l: 08-564 728 30
WWW: http://www.nsec.se

NSEC Information Service (NIS) är en tjänst som informerar sina kunder om nya uppdateringar och annan viktig information via e-post.
För mer info kontakta NSEC Network Security AB.

Observera att du inte kan svara på detta meddelande. Om du vill gå ur denna mailinglista kan du skicka ett brev med din adress till info@nsec.se och ange mailinglistan “NIS – McAfee”.

NIS: Ny sökmotor tillgänglig från McAfee (5600)

Posted on April 24, 2013 by Kenneth Höglund

***** NSEC Information Service – McAfee *****

Datum: 2013-04-24

Nytt versionsnummer: 5600

Plattform: Windows, Linux och Mac OS X

McAfee har släppt en ny version av sökmotorn (Scan Engine) för de programvaror som använder McAfees Anti-malware engine.

Den nya sökmotorn görs tillgänglig i två steg:

24 april 2013 – Elective download som kan laddas ned manuellt.

Oktober 2013 – Autoupdate som läggs upp på Web/FTP för automatisk nedladdning av McAfee produkter (t ex VirusScan och ePO).

De olika stegen görs för att kunder ska hinna testa den nya motorn innan den skickas ut automatiskt.

Ytterligare information om engine 5600:

https://kc.mcafee.com/corporate/index?page=content&id=KB66741

Nedladdning:

http://www.mcafee.com/apps/downloads/security-updates/security-updates.aspx.

Sökmotorn är en viktig del i Anti-virus programvara och bör därför uppdateras.

Den nya sökmotorn innehåller bl a följande nyheter (från McAfee):

Detection Enhancements

Enhancements to Portable Document File (PDF) scanning to improve exploit detection capabilities
Enhancements to Office file format scanning to improve exploit detection capabilities
File decomposition support for Red Hat Package Manager (RPM) file format
Enhanced unpacking to detect more threats

Performance Enhancements

DAT loading and updating improvement for faster incremental DAT processing
General performance optimizations targeting initialization, updating, and scanning
Performance enhancements to Multipurpose Internet Mail Extensions (MIME) scanning

Platform Enhancements

New platforms: Win8, Win2012, FreeBSD 8.x, Linux Kernel 3.x, HP-UX Itanium 11.2, and 11.3
End Of Life (EOL): HP UX 11.0, Mac OSX 10.2.8, 10.3.9, Novell Netware, and Microsoft Windows NT4

mvh

NIS

NSEC Network Security

Våg av JS/Redirector på felstavade svenska sajter

Posted on April 7, 2013 by Mikael Fryksten

Vi ser för tillfället en ökad aktivitet av infekterade hemsidor som försöker fånga upp användares felstavade adresser. Vi har även sett ett fall där man aktivt använt Google AdWords för att fånga upp användare. Det hela verkar gå ut på att registrera vanligt förekommande domäner fast något felstavade, t ex vardhanboken.se (som då skall vara vardhandboken.se).

När sedan sidan öppnas i webbläsaren, sker en omdirigering med ett skript som klassas som skadligt. McAfee detekterar detta som “JS/Redirector.ar”. Av ca 40 AV leverantörer hittar endast ca 10 detta skript.

Domänerna är också i en del fall listade som “farliga” i McAfees GTI tjänst. Då stoppas sidan av McAfee SiteAdvisor (URL) och Host IPS (IP).

Vi har anmält de domäner vi hittat till Mcafee, Fortinet och övriga AV leverantörer vi arbetar med. Vi rekommenderar att man informerar sina användare att vara noga med stavningen samt kontrollera att man har lämpliga skyddsfunktioner aktiverade (webbfilter, AV osv).

Dessa domännamn har vi sett hittills, punkten har ersatts med ett underscore för att undvika att ni klickar på dem (Besök INTE dessa sidor!)

wolksvagen_se
vardhanboken_se
bankkonto_se
norweigan_se
mathem_com
antagnng_se
scnadic_se
seatguru_se
eyoutube_com
lowcoastholiday_com
airportugal_com
searchco_in
crusingpower_com
soundcoud_com
chekmytrip_com
chechmytrip_com
mallpark_com
fotballfrue_com

Nu finns McAfee ePolicy Orchestrator (ePO) 5.0 och McAfee Agent (MA) 4.8 tillgänglig

Posted on March 26, 2013 by Kenneth Höglund

***** NSEC Information Service – McAfee *****

Datum: 2013-03-26
McAfee Produkt: McAfee ePolicy Orchestrator (ePO) 5.0 och McAfee Agent (MA) 4.8

Nu finns McAfee ePolicy Orchestrator (ePO) 5.0 och McAfee Agent (MA) 4.8 tillgänglig.

För fullständig information angående dessa releaser se nedanstående URL

McAfee ePolicy Orchestrator (ePO) 5.0
https://kc.mcafee.com/corporate/index?page=content&id=PD24348

McAfee Agent (MA) 4.8
https://kc.mcafee.com/corporate/index?page=content&id=PD24332

McAfee ePolicy Orchestrator (ePO) 5.0 och McAfee Agent (MA) 4.8 finns att ladda ner på McAfees hemsida (kräver s k Grant-nummer):

https://secure.nai.com/us/forms/downloads/upgrades/login.asp

mvh
NIS
NSEC Network Security

En sårbarhet har hittats i produkter från McAfee

Posted on February 12, 2013 by Kenneth Höglund

***** NSEC Information Service – McAfee *****

Datum: 2013-02-12

En sårbarhet har hittats i produkter från McAfee. Sårbarheten möjliggör privilegiehöjning för en inloggad lokal användare. En hotfix från McAfee finns tillgänglig för att åtgärda sårbarheten.

Berörda produkter

-VSE 8.7i Patch 5
-VSE 8.8 Patch 1 och Patch 2
-Host IPS 8.0 Patch 1 och Patch 2

För fullständig information se här:

https://kc.mcafee.com/corporate/index?page=content&id=KB77192

https://kc.mcafee.com/corporate/index?page=content&id=SB10034

NIS
NSEC Network Security

Nu finns McAfee ePolicy Orchestrator 4.6.5 tillgänglig

Posted on February 8, 2013 by Kenneth Höglund

***** NSEC Information Service – McAfee *****

Datum: 2013-02-08

McAfee Produkt: McAfee ePolicy Orchestrator (ePO)

Nu finns McAfee ePolicy Orchestrator 4.6.5 tillgänglig.

McAfee ePolicy Orchestrator 4.6.5 finns att ladda ner på McAfees hemsida (kräver s k Grant-nummer):

https://secure.nai.com/us/forms/downloads/upgrades/login.asp

mvh

NIS
NSEC Network Security

McAfee DAT detektion för CVE-2013-0422

Posted on January 15, 2013 by Kenneth Höglund

McAfee VirusScan och HIPS har hela tiden hindrat infektion genom Buffer Overflow-modulen. Sedan DAT 6952 detekteras denna 0-dagssårbarhet som PWS-Zbot.gen.aua, Exploit-CVE2013-0422, JS/Blachole-Redirector, Ransom-AAV och JS/Exploit-Rekit.a. Läs mer här:

https://community.mcafee.com/servlet/JiveServlet/downloadBody/4574-102-1-7531/MT IS13-008.pdf

Oracle har släppt patch för Java sårbarhet CVE-2013-0422

Posted on January 14, 2013 by Mikael Fryksten

NSEC rekommenderar alla kunder att uppdatera till denna version omgående. För mer information se Oracles information nedan

http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

En ny 0-dag sårbarhet i Java CVE-2013-0422 har upptäckts

Posted on January 11, 2013 by Kenneth Höglund

En ny 0-dag sårbarhet i Java har upptäckts. Sårbarheten möjliggör för angripare att köra godtycklig kod via webbsida som besöks m m. Sårbarheten passerar Javas säkerhetsmodell och kan därmed köra kod lokalt på datorn.

Det finns i dagsläget ingen patch från Oracle för denna sårbarhet. Så kallade exploit kits (exempelvis Blackhole, Nuclear, Cool och Sakura) har gjorts publik och därmed kan alla som vill använda denna sårbarhet.

Under tiden tills en patch finns tillgänglig har man några alternativ;

Inaktivera insticks-Java i webbläsaren. Detta kan göras i respektive browser. Om du kör Java 7 update 10 kan du slå av det i Java-konsollen.

Se till att ha uppdaterade och aktiverade säkerhetssystem som detekterar utnyttjande av denna sårbarhet.

Mer information från CERT-SE

http://www.cert.se/sarbarheter/sr/sr13-006-oracle-0-day-i-java

Här är lite information från McAfee som gäller förmiddag 2013-01-11:

Buffer overflow protection (BOP) i McAfee VirusScan Enterprise skyddar mot denna sårbarhet. Buffer overflow protection (BOP) i Host Intrusion Prevention (HIPS) skyddar mot denna sårbarhet.

DAT fil kommer längre fram för att detektera denna sårbarhet vid sökning på begäran eller sökning vid användning.

NSEC Security Blogg

NSEC – blogg om informations och IT-säkerhet

McAfee har upptäckt en sårbarhet i McAfee Agent (MA) extension

Två sårbarheter har upptäckts i ePO

NIS: Ny sökmotor tillgänglig från McAfee (5600)

Våg av JS/Redirector på felstavade svenska sajter

Nu finns McAfee ePolicy Orchestrator (ePO) 5.0 och McAfee Agent (MA) 4.8 tillgänglig

En sårbarhet har hittats i produkter från McAfee

Nu finns McAfee ePolicy Orchestrator 4.6.5 tillgänglig

McAfee DAT detektion för CVE-2013-0422

Oracle har släppt patch för Java sårbarhet CVE-2013-0422

En ny 0-dag sårbarhet i Java CVE-2013-0422 har upptäckts