sårbarheder

Hul i NAS-udstyr fra LG står åbent

Dansk

Flere NAS-systemer (Network-Attached Storage) fra producenten LG har en sårbarhed. Det oplyser sikkerhedsfirmaet vpnMentor.

Ifølge firmaet er det muligt at indsætte kommandoer i password-feltet på loginsiden. Dermed kan en angriber udføre kommandoer, fx ved at oprette en ny brugerkonto eller hente databasen over brugernavne og passwords.

VpnMentor oplyser, at LG øjensynlig bruger to forskellige typer firmware til firmaets NAS-produkter. Den ene af dem er sårbar.

Anbefaling

Afvent opdateringer fra LG.

MikroTik lukker hul i RouterOS

Dansk

Et hackerangreb gjorde producenten MikroTik opmærksom på et sikkerhedshul. Angrebet udnyttede funktionen Winbox i firmaets RouterOS til at få fat i brugernavne og passwords. Derefter kunne angriberen logge ind på routeren og ændre dens opsætning.

En dag efter, at angrebet blev opdaget, udsendte MikroTik rettede versioner, der lukker sikkerhedshullet.

Fejlen er rettet i RouterOS v6.42.1 og v6.43rc4.

Apple retter macOS, iOS og Safari

Dansk

Apple har udsendt nye versioner af styresystemet macOS til Macintosh-computere og iOS til iPhone, iPad og iPod.

IOS 11.3.1 lukker fire sikkerhedshuller, hvoraf de to kan lade en angriber afvikle skadelig programkode.

To af sårbarhederne findes også i macOS. De er fjernet med Security Update 2018-001.

Endelig lukker browseren Safari version 11.1 to sikkerhedshuller.

Anbefaling

Opdater til de rettede versioner.

Drupal planlægger kritisk opdatering

Dansk

Drupal udsender en vigtig opdatering til CMS'et i morgen. Den ventes at lukke et kritisk sikkerhedshul.

Opdateringen udsendes den 25. april mellem klokken 18 og 20 og dansk tid.

Drupal har for nylig lukket et andet meget kritisk sikkerhedshul, som angribere udnytter for øjeblikket.

Anbefaling

Administratorer af Drupal-systemer bør forberede sig på at opdatere i morgen aften.

LinkedIn lukker hul

Dansk

En sikkerhedsforsker har opdaget en sårbarhed knappen AutoFill, som LinkedIn tilbyder til websteder.

Et websted kan integrere knappen på sine sider. Når en bruger klikker på knappen, udfyldes en række felter automatisk med oplysninger fra brugerens LinkedIn-profil.

Sikerhedsforsker Jack Cable opdagede, at knappen kunne placeres på ethvert websted. Den kunne gøres usynlig og udvides, så den fyldte hele skærmen. Hvis brugeren klikkede et sted på siden, ville oplysningerne automatisk blive udfyldt.

Cisco lukker kritiske huller i WebEx og UCS Director

Dansk

En sårbarhed i videokonferencesoftwaren WebEx giver en autentificeret angriber mulighed for at afvikle skadelig programkode på de computere, der deltager i videomødet. Det skyldes en fejl i håndteringen af Adobe Flash-filer, der kan uploades til et møde.

Cisco har rettet sårbarheden med disse versioner af klient- og serverprodukterne:

Google lukker to kritiske sikkerhedshuller i Chrome

Dansk

Google har udsendt Chrome 66. Den nye version lukker 62 sikkerhedshuller. To af dem har fået Googles højeste risikovurdering.

De ligger begge i systemet Disk Cache. Google har endnu ikke afgjort, hvor stor en dusør de afføder til sikkerhedsforsker Ned Williamson, der opdagede dem.

Andre sårbarheder ligger i blandt andet WebAssembly, PDFium, Kia og Service Worker.

Angribere udnytter hul i Drupal

Dansk

Udviklerne af Drupal lukkede et meget alvorligt sikkerhedshul i CMS'et den 28. marts. I sidste uge offentliggjorde en russisk sikkerhedsforsker programkode, der demonstrerer, hvordan sårbarheden kan udnyttes.

Kort tid derefter observerede sikkerhedsfirmaet Sucuri de første forsøg på at udnytte sårbarheden.

Flere sikkerhedsfirmaer rapporterer om servere, der er blevet inficeret med skadelig software. Det gælder blandt andet bagdøre og software, der danner kryptovaluta.

Oracle lukker 254 sikkerhedshuller

Dansk

Den seneste samling sikkerhedsopdateringer fra Oracle lukker 254 sikkerhedshuller i blandt andet Oracle Database Server, Fusion Middleware, E-Business Suite, PeopleSoft, Oracle Industry Applications (Construction, Financial Services, Hospitality, Retail, Utilities), Java, MySQL og Oracle Systems Products Suite.

Der er 14 rettelser til Java SE. 12 af sårbarhederne kan udnyttes over nettet af en angriber, der ikke behøver oplyse brugernavn og password. Den alvorligste sårbarhed har en CVSS-score (Common Vulnerability Scoring System) på 8,3.

Sider

Abonnér på RSS - sårbarheder