sårbarheder

Mobile apps lækker data med adgang til SMS'er og samtaler

Dansk

Sikkerhedsfirmaet Appthority har opdaget, at 85 udviklerkonti på tjenesten Twilio har lagt deres brugernavn og password ind i de apps, de har udviklet. Dermed kan uvedkommende få adgang til de data, appen sender gennem Twilio.

Twilio er en cloud-tjeneste, der lader apps ringe, modtage opkald og udveksle SMS'er via forskellige telefoni-udbydere.

Appthority opdagede sårbarheden i april. De analyserede over 1.000 apps, hvoraf 685 havde sårbarheden. Både Android og iOS er berørt.

Joomla lukker tre sikkerhedshuller

Dansk

Joomla 3.8.2 fjerner tre sårbarheder fra CMS'et (Content Management System).

Udviklerne beskriver to af sårbarhederne som mellemalvorlige, mens den sidste får lav prioritet.

En af sårbarhederne ligger i behandlingen af LDAP (Lightweight Directory Access Protocol). Den gør det muligt at få fat i brugernavn og password.

Anbefaling

Opdater til Joomla 3.8.2.

Links

Google lukker 32 huller i Android

Dansk

Novembers sikkerhedsopdateringer til Android lukker 32 sikkerhedshuller, hvoraf de ni er kritiske.

Opdateringerne er opdelt i sårbarheder i Android generelt og sårbarheder, der findes i specifikke hardware-konfigurationer.

Der er rettelser til 20 sårbarheder i den generelle Android og 12 produktspecifikke sårbarheder. Seks af de kritiske sårbarheder findes i Android generelt, mens tre er knyttet til trådløse netværksfunktioner i chips fra Qualcomm.

Google lukker kritisk hul i Chrome

Dansk

Chrome til Windows, Macintosh og Linux er opdateret til version 62.0.3202.89. Den lukker to sikkerhedshuller, hvoraf det ene er kritisk.

Den alvorlige sårbarhed er et bufferoverløb i QUIC (Quick UDP Internet Connections). Sikkerhedsforsker Ned Williamson rapporterede det til Google den 24. oktober. Google har endnu ikke afgjort, hvor stor en dusør han får for opdagelsen.

Den anden sårbarhed har fået Googles næsthøjeste risikovurdering. Den ligger i V8.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Tor Browser lukker hul i Mac- og Linux-version

Dansk

En sårbarhed i Tor Browser gør, at browseren kan lække brugerens IP-adresse, som Tor ellers burde skjule. Det skyldes en fejl i den måde, Firefox håndterer file-links på.

Fejlen findes kun i macOS- og Linux-versionerne af Tor Browser, Windows-versionen er ikke berørt.

Udviklerne har udsendt version 7.0.9 til de to platformen, mens Windows-brugere kan fortsætte på 7.0.8.

Endvidere er der udsendt en rettet udgave til alpha-serien, Tor Browser 7.5a7.

Anbefaling

Opdater til en rettet version.

Cisco lukker huller i trådløst udstyr

Dansk

Aironet 1560, 2800 og 3800 har to sårbarheder, der gør det muligt at sætte systemet ud af drift. Angriberen skal være inden for radiorækkevidde for at udnytte sårbarheden.

Den er en af flere sårbarheder, som Cisco har rettet. Der er også lukket to huller i Wireless LAN Controller.

Foruden det trådløse udstyr har Cisco rettet sårbarheder i Identity Services Engine, Firepower 4100 og 9300, Prime Collaboration Provisioning og Application Policy Infrastructure Controller Enterprise Module.

Anbefaling

Installer sikkerhedsopdateringerne.

OpenSSL lukker to huller

Dansk

Udviklerne af OpenSSL har fjernet to sårbarheder. Den ene har fået risikovurderingen medium, den anden regnes for lav.

Den alvorligste af sårbarhederne kan i teorien bruges til at knække krypteringsnøgler. I praksis vil det dog være meget vanskeligt, oplyser OpenSSL: Et angreb vil kræve så store computerressourcer, at kun få angribere vil have adgang til dem.

Udviklerne opdagede sårbarhederne ved hjælp af Googles tjeneste OSS-Fuzz. Det er en såkaldt fuzzer, der afprøver sikkerheden ved at sende en stor mængde forskellige inputdata til applikationen.

Konkurrence finder sårbarheder i Samsung, Apple og Huawei

Dansk

Konkurrencen Mobile Pwn2Own foregik i denne uge i Tokyo, Japan. Sikkerhedsforskere kappedes om at knække sikkerheden på smartphones.

Flere af deltagerne havde held med at afvikle skadelig programkode på enhederne.

Et hold fra firmaet 360 Security fik Samsung Internet Browser på en Samsung Galaxy S8 til at køre kode. Via en sårbarhed i en Samsung-app fik de den skadelige kode til at køre videre efter en genstart.

Tencent Keen Security Lab udnyttede fire sårbarheder til at afvikle kode og få øgede privilegier på en iPhone 7 med den nyeste version af iOS.

WordPress lukker alvorligt sikkerhedshul

Dansk

En sårbarhed i WordPress kan føre til SQL-indsætning. Fejlen ligger i funktionen $wpdb->prepare().

Selve WordPress er ikke direkte sårbar, men plugins og temaer kan være det.

Sårbarheden er en variant af en sårbarhed, som udviklerne forsøgte at fjerne med WordPress 4.8.2. Men sikkerhedsforsker Anthony Ferrara opdagede, at rettelsen ikke var effektiv.

Apple lukker huller i en række produkter

Dansk

Macintosh-brugere får lukket 147 sikkerhedshuller i den seneste version af macOS og de to foregående versioner. Det sker med macOS 10.13.1 High Sierra, Security Update 2017-001 Sierra og Security Update 2017-004 El Capitan.

De fleste sårbarheder findes i tcpdump, der er opdateret til version 4.9.2. Det skulle fjerne 90 sårbarheder.

Endvidere lukker opdateringerne sikkerhedshullerne kendt som KRACK (Key Reinstallation Attacks).

Styresystemet iOS til iPhone, iPad og iPod lukker 20 huller med version 11.1.

TvOS 11.1 lukker 19 huller.

Sider

Abonnér på RSS - sårbarheder