sårbarheder

Angribere kan udnytte funktion i Word til at få fat i adgangskoder

Dansk

Sikkerhedsforskere har opdaget en ny angrebsmetode, der anvender funktionen subDoc i Microsoft Word. SubDoc gør det muligt at angive et underdokument, der skal indlæses i det aktuelle dokument.

Underdokumentet kan befinde sig på en anden computer. Sikkerhedsfirmaet Rhino Security Labs har opdaget, at når Word forsøger at hente underdokumentet, og det ligger på en password-beskyttet server, prøver Word at logge ind. Derved sendes brugerens navn og hashfunktionen af adgangskoden til serveren.

Firmware-opdatering kan få Intel-udstyr til at genstarte

Dansk

Intel oplyser, at nogle få kunder har oplevet flere system-genstarter, efter at de har installeret firmware-opdateringer. Det drejer sig om både pc'er og servere.

Problemerne rammer systemer med CPU'erne Broadwell og Haswell.

Intel er ved at undersøge problemet. Løsningen kan vise sig at være en ny udgave af firmwaren.

Lenovo oplyser, at firmaet har modtaget mikrokode-opdateringer fra Intel. Siden har Intel trukket en af dem tilbage. Kunder anbefales at vente med at installere to øvrige opdateringer, indtil problemer med dem er løst.

IBM er på vej med rettelser til POWER

Dansk

IBM's POWER-processorer er berørt af sårbarhederne Spectre og Meltdown. For at lukke hullerne skal man installere firmware-opdateringer og softwareopdateringer.

Rettet firmware til POWER7+ og POWER8 er udsendt.

Firmwareopdatering til POWER9 er klar den 15. januar. IBM har endnu ikke oplyst, hvornår rettelser til ældre arkitekturer er klar.

Opdateringer til Linux er klar.

Opdateringer til AIX og IBM i (det tidligere OS/400) ventes klar den 12. februar.

Anbefaling

Installer opdateringer fra IBM.

Spectre-opdateringer gør ældre Windows-versioner langsommere

Dansk

Microsoft oplyser, at Windows 7 og 8 på ældre hardware kører lidt langsommere, efter at man installerer sikkerhedsopdateringer rettet mod Spectre og Meltdown. Det er sårbarheder i processorer.

"De fleste brugere vil opleve en nedgang i systemets ydeevne," skriver Microsoft i et blogindlæg.

Med ældre hardware menes Intel-processorer fra 2015 eller før.

Nogle brugere vil også opleve en sløvere pc med Windows 10, hvis den kører på ældre hardware. Har man en processor fra 2016 eller senere, vil den negative indvirkning derimod være så lille, at den næppe bemærkes.

Microsoft lukker 56 sikkerhedshuller

Dansk

De 56 sikkerhedsrettelser i januars samling fra Microsoft omfatter de rettelser til hardwaresårbarhederne Meltdown og Spectre, der blev udsendt tidligere på måneden.

I alt har Microsoft givet 16 af sårbarhederne firmaets højeste risikovurdering. Dog er der 28 sårbarheder, som lader angribere afvikle skadelig programkode.

De kritiske sårbarheder berører Windows, Outlook, Word og scripting-delen af browserne Internet Explorer og Edge.

Anbefaling

Test og installer opdateringerne fra Microsoft.

Adobe lukker hul i Flash Player

Dansk

Adobe har udsendt en opdatering til Flash Player, der fjerner en sårbarhed. Den kan medføre, at uvedkommende får adgang til fortrolig information.

Adobe betegner opdateringen som vigtig, men ikke kritisk.

Fejlen er rettet i Adobe Flash Player version 28.0.0.137 til alle platforme.

Anbefaling

Opdater Flash Player eller afinstaller produktet, hvis I kan undvære det.

Apple lukker Spectre-huller

Dansk

Apple har opdateret macOS, iOS og Safari. De nye versioner skal begrænse risikoen for, at Spectre kan udnyttes. Det drejer sig om sårbarhederne CVE-2017-5753 og CVE-2017-5715.

De opdaterede versioner er macOS High Sierra 10.13.2 Supplemental Update, iOS 11.2.2 og Safari 11.0.2.

Spectre er et par sårbarheder, der findes i processorer fra flere producenter. Det kræver en opdatering af hardwaren at fjerne dem, men man kan via software mindske risikoen for, at de kan udnyttes.

Alle fremtidige Windows-opdateringer kræver godkendt antivirus

Dansk

Microsoft har tidligere oplyst, at der er særlige krav til pc'er, der skal have den opdatering, som skal forhindre udnyttelsen af hardwaresårbarhederne Spectre og Meltdown: Antivirusprogrammet på pc'en skal sætte en nøgle i registreringsdatabasen, der angiver, at det er kompatibelt med rettelsen.

Nu har Microsoft udvidet begrænsningen til at gælde alle fremtidige sikkerhedsopdateringer til Windows.

Dermed risikerer brugere af Windows at gå glip af rettelser, hvis den pågældende nøgle ikke ændres.

Microsoft standser opdateringer til AMD efter problemer

Dansk

Ifølge Microsoft er computerne gået ind i en tilstand, hvor de ikke kan bootes. Som følge af problemerne holder Microsoft nu op med at distribuere de sikkerhedsopdateringer, som firmaet udsendte den 3. januar. De kan hverken fås gennem Windows Update eller WSUS (Windows Server Update Services).

Formålet med opdateringerne er at mindske risikoen for, at angreb udnytter processorsårbarhederne Spectre og Meltdown.

Microsoft og AMD arbejder på at løse problemet, så opdateringerne senere kan blive installeret.

Western Digital lukker alvorlige huller i My Cloud

Dansk

En sikkerhedsforsker har opdaget en bagdør i Western Digitals My Cloud-harddiske. Han fandt også andre sårbarheder i produktet.

Bagdøren består af et brugernavn med et password, der er indbygget i systemet. Brugeren kan ikke ændre passwordet.

Western Digital har lukket hullet med firmware version 2.30.174.

Produkter med firmware version 4.x er ikke sårbare.

Disse produkter er sårbare:

Sider

Abonnér på RSS - sårbarheder