A new email-worm - Mimail.c - has surfaced. Not much is unusual about this one, but i thought it worth mentioning because the payload comes as a zip compressed file, so it will slip the usual file extension filters in most email programs.
So be sure to have your Anti-Virus installed and running when checking your mail. You can read more details about the virus and the actual payload at CNet.

Tuesday Apple released a update to OSX v 10.3 (Panther) that includes a number of security fixes. This seems as a good thing, but at the same time Apple is choosing NOT to fix the security errors in earlier versions of its OS (10.2 and below). This means that apple users are forced to pay a rather large update fee ($129) to stay secure.

Quote:
"It is not a friendly thing to tell your customers to shell out a lot of money to stay secure," said Thor Larholm, senior researcher for software security firm PivX Solutions. "It would be a dangerous precedent, if they did."

"Apple declined comment."

So even if we windows users are more exposed to flaws than Mac users, at least we get our OS updated without having to pay big money.
Read the whole article at News.com.com

A 17 year old kid from Brisbane, Australia has been arrested for 2 counts of cracking a 'prominent' Australian ISP. The name of the ISP hasn?t been released and won?t be until the case goes to court.

Quote:
"Australian High Tech Crime Centre director federal agent Alastair MacGibbon said he hoped the arrest served as a warning to would-be hackers, and appealed to any ISPs who believed they had been hacked to contact the centre."

(As usual the popular media has the term 'hacking' wrong.)
For more warp 2 Australian IT

Heise: Cracker nutzen wieder eine Sicherheitslücke in Microsofts Internet Explorer aus, um über Web-Sites ein Trojanisches Pferd auf die Systeme ihrer Opfer zu schleusen. Dazu verbreiten sie in Chats und Newsgruppen URLs, die auf ihre speziell präparierten Seiten verweisen. Im IRCnet und QuakeNet endeten diese URLs auf britney.jpg, das kann sich jedoch jederzeit ändern. Beim Besuch der Seiten installiert sich ein Trojanisches Pferd über den Windows Media Player und andere Windows-System-Dateien. Betroffene berichteten, dass sie das System nur durch Neuinstallation säubern konnten, Antiviren-Software erkennt den Schädling bisher anscheinend nicht.

Sunday the 26. another internet worm was released through IRC networks.
The worm is disguised as a .jpg picture named Britney.jpg from Angelfire. Whatever you do do not open britney links in Internet explorer.
An exploit taking advantage of holes in Internet Explorer along with Windows Media Player ensures the worm free passage to your computer, where it starts deleting system files and destroying the registry.
The effect of this is: no shortcuts work, no programs, except those already running will work. If mirc is running it will proceed by installing a script that announces the url to britney.jpg in all the channels you have joined. Some have mentioned that it even uploads sites.dat from your FlashFXP directory.

The following link is a closer description and a timeline:
Charmy

Thx to El_Coyote for the information.

Panda Software warnt von von einem neuen "potenziell gefährlichen" Trojaner mit dem Namen Sdbot.N (Bck/Sdbot.N). Der gefährliche Code erlaube Hackern den Zugriff auf infizierte Computer per IRC. Dabei muss nicht einmal ein entsprechender Client auf dem betroffenen Rechner installiert sein.

There are few bad news on RPC DCOM vulnerability:

1. Universal exploit for MS03-039 exists in-the-wild, PINK FLOYD is again actual. 2. It was reported by exploit author (and confirmed),
Windows XP SP1 with all security fixes installed still vulnerable to variant of the same bug. Windows 2000/2003 was not tested. For a while only DoS exploit exists, but code execution is probably possible.
Technical details are sent to Microsoft, waiting for confirmation.

Dear ISPs. Please instruct you customers to use personal fireWALL in Windows XP.

Symantec Corp. today released its latest Internet Security Threat Report, one of the most comprehensive analyses of trends in cyber security activity. This report includes analysis of data from Symantec Managed Security Services customers as well as more than 20,000 DeepSight Threat Management System registered sensors worldwide monitoring attack activity in more than 180 countries. The report covers network-based attacks, a review of vulnerabilities discovered and exploited, and highlights of malicious code trends.

Three specific vulnerabilities have been discovered in the OpenSSL libraries. Two of these could allow a Denial of Service attack, the third may result in an attacker being able to execute malicious code under certain conditions. All versions of OpenSSL up to and including 0.9.6j and 0.9.7b and all versions of SSLeay are affected. (SSLeay is no longer maintained.) Get more informations over here

In einem Security Advisory beschreibt das britische Infrastructure Security Coordination Centre (NISCC) drei Fehler in der Open-Source-Verschlüsselungsbibliothek OpenSSL. Bei der SSL/TLS-Verbindungsaufnahme werden zur Authentifizierung Zertifikate ausgetauscht. Diese Zertifikate sind nach der Abstract Syntax Notation (ASN.1) aufgebaut und enthalten unter anderem die Namen des Austellers (Issuer) und der Eigentümers (Common Name, CN). Manipuliert ein Angreifer bestimmte ASN.1-Elemente, kann er damit den Dienst zum Absturz bringen oder beliebigen Code auf den Stack schreiben und ausführen. Ein Exploit ist derzeit noch nicht bekannt. Betroffen sind alle OpenSSL-Versionen bis einschließlich 0.9.6j und 0.9.7b. Außer bei Web-Servern kommt SSL auch zur Sicherung von IMAP, SMTP und anderen Protokollen zum Einsatz, die von Haus aus keine starke Authentifizierung beziehungsweise Verschlüsselung bieten. Alle Infos bei Heise Security

Auf den Mailinglisten Full Disclosure und Bugtraq wurden mehrere Vorfälle gemeldet, die über Angriffe von Webseiten gegen Anwender berichten. Durch eine ungepatchte Sicherheitslücke im Internet Exporer kann ein Angreifer mit manipulierten HTML-Dokumenten beliebige ausführbare Dateien (.exe, .vbs) auf den PC des Anwenders laden und ausführen. Dazu reicht es bereits aus, die manipulierte Webseite im Internet Explorer anzusehen. Mehr dazu auf Heise Security

W32.Swen.A@mm is a mass-mailing worm that uses its own SMTP engine to spread itself. It attempts to spread through file-sharing networks, such as KaZaA and IRC, and attempts to kill antivirus and personal firewall programs running on a computer. The worm can arrive as an email attachment. The subject, body, and From: address of the email may vary. Some examples claim to be patches for Microsoft Internet Explorer, or delivery failure notices from qmail. Read More

Once an accident, twice a fool! As we reported, there is a critical securtiy issue with the RPCSS Service in Microsoft Windows based systems.

Heise reports today that allready exploids were found in the web, which are able to attack Windows 2K Systems with Service Pack 3 or 4 installed.
The attacker is able to create an administrator account using username "e" with password "asd#321" to get controll about victims computer.

It´s more than probably that variations of this exploid will be developed to attack Windows XP and other Microssoft operation systems which are affected by this security hole.

Get more informations about this security issue and download the patch over here

Wie Heise heute berichtet, kursieren in einschlägigen Internetforen bereits Exploids, um eine neue Sicherheitslücke im RPCSS Dienst (wir berichteten), auszunutzen.

Der Exploid legt ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen. Bei Heise (obriger Link) gibt es die Downloadlinks für den Patch aller Systeme.

phpBB is one of the most used forum software in the web and a critical security issue has been found.
We've been notified about a vulnerability in phpBB 2.0.6 (which also affects 2.0.5). The fix is noted below but please note the text that follows it. [...]A change was made to the way bbcode url matching is achieved around phpBB 2.0.4. This was done following complaints that our existing methods, as used in earlier releases of phpBB were too restrictive.

And again a new big bug has been discovered in Microsoft Windows, similar to the bug, which caused the Blaster disaster, update recommended ! Buffer Overrun In RPCSS Service Could Allow Code Execution (824146)

Originally posted: September 10, 2003

Impact of vulnerability: Three new vulnerabilities, the most serious of which could enable an attacker to run arbitrary code on a user?s system.

The fix provided by this patch supersedes the one included in Microsoft Security Bulletin MS03-026 and includes the fix for the security vulnerability discussed in MS03-026, as well as 3 newly discovered vulnerabilities. Read More

Sicherheitsexperten warnen vor einem neuen eMail-Wurm, der sich seit kurzem im Internet verbreitet: Der Schädling mit dem Namen "Neroma" verspricht ein JPG-Bild von den Anschlägen auf das World-Trade-Center am 11. September 2001. Bei erfolgreicher Infektion wird die Festplatte des angegriffenen PCs vollständig gelöscht.

Luigi Auriemma, Sicherheitsspezialist bei PivX Solutions, hat einen Buffer Overflow im weit verbreiteten Media-Player Winamp gefunden. Winamp benutzt zum Abspielen von MIDI-Dateien das Plug-in IN_MIDI.DLL, welches bis einschließlich Version 3.01 einen Buffer Overflow enthält. Diese Version ist in Winamp 2.91 enthalten, die, obwohl Version 3 längst verfügbar ist, immer noch explizit auf Winamp.com zum Download angeboten wird. Winamp Version 3 ist teilweise betroffen, das Ausführen von Code soll nicht möglich sein, immerhin kann der Player aber zum Absturz gebracht werden. Der Hersteller ist informiert, ein Patch steht aber noch nicht zur Verfügung. Auriemma empfiehlt, solange einen anderen Player für MIDI-Dateien zu verwenden. Mehr Informationen bei Heise Security