sårbarheder

Sårbarhed i Schneiders PLC-programmeringsværktøj

Dansk

Schneider Electric beretter nu, at der er kommet en opdatering til firmaets EcoStruxure Machine Expert (tidligere SoMachine Basic). Den lukker for en alvorlig sårbarged i det værktøj, der anvendes til programmering af Schneiders Modicon M221 PLC (Programmable Logic Controller).

Sårbarheden (CVE-2018-7783) medfører en potentiel risiko for afvikling af eksterne kode på sårbare systemer. Det kan give adgang til følsom information som eksempelvis password, brugerdata eller detaljer om systemet.

Ny rekord for antallet af sårbarheder registreret i første kvartal

Dansk

5.375 sårbarheder er blevet rapporteret i de første tre måneder af 2018. Det viser en opgørelse fra firmaet Risk Based Security, der holder øje med og registrerer it-sårbarheder.

Sammenligner man dette antal med det første kvartal i 2017, er der sket en lille stigning. Statistikken viser nemlig 5278 rapporterede sårbarheder i det kvartal. Det første kvartal i 2017 var dog ret specielt, fordi det viste en voldsom opgang i antallet af sårbarheder på 28 procentpoint i forhold til samme kvartal i 2016.

Mail-kryptering ramt af svagheder

Dansk

Hvis du anvender OpenPGP eller S/MIME til at kryptere dine mails, så er der grund til bekymring.

Der er nemlig blevet rapporteret om en angrebsteknik, kaldet Efail, som potentielt kan give uvedkommende adgang til indholdet i en ellers krypteret mail. Også til indhold i allerede sendte mails.

Otte forskere fra tre tyske universiteter er blevet krediteret for at beskrive, hvordan sårbarheden udnyttes i to forskellige angrebstyper.

Forskerne advarer om, at standarderne ikke længere kan anses som en sikker kryptering, da der ikke er en rettelse til problemet.

Microsoft er klar med to Windows-opdateringer mod Spectre-sårbarheden

Dansk

Microsofts sikkerhedsfolk er nu klar med to kodepakker, der kan afhjælpe nogle af problemerne med Spectre v2-sårbarheden, der blev opdaget af sikkerhedsforskere i starten af 2018.

Den første opdaterings-pakke er blevet døbt KB4078407. Pakken er kun tilgængelig som en manuel opdatering til Windows 10.

Angribere udnytter kritisk hul i Drupal

Dansk

Som varslet lukkede udviklerne af CMS'et Drupal et kritisk sikkerhedshul i går. Efter få timer observerede de de første angreb, der udnyttede sårbarheden.

Sårbarheden har en risikovurdering på 20 ud af 25 på Drupals egen skala. Den betegnes som meget kritisk, idet den kan give en angriber fuld kontrol over et websted, der kører på en sårbar Drupal-platform.

Fejlen er rettet i version 7.59 og 8.5.3. Brugere af 8.4.x skal opdatere til 8.4.8 og derefter gå videre til 8.5.3.

Hul i NAS-udstyr fra LG står åbent

Dansk

Flere NAS-systemer (Network-Attached Storage) fra producenten LG har en sårbarhed. Det oplyser sikkerhedsfirmaet vpnMentor.

Ifølge firmaet er det muligt at indsætte kommandoer i password-feltet på loginsiden. Dermed kan en angriber udføre kommandoer, fx ved at oprette en ny brugerkonto eller hente databasen over brugernavne og passwords.

VpnMentor oplyser, at LG øjensynlig bruger to forskellige typer firmware til firmaets NAS-produkter. Den ene af dem er sårbar.

Anbefaling

Afvent opdateringer fra LG.

MikroTik lukker hul i RouterOS

Dansk

Et hackerangreb gjorde producenten MikroTik opmærksom på et sikkerhedshul. Angrebet udnyttede funktionen Winbox i firmaets RouterOS til at få fat i brugernavne og passwords. Derefter kunne angriberen logge ind på routeren og ændre dens opsætning.

En dag efter, at angrebet blev opdaget, udsendte MikroTik rettede versioner, der lukker sikkerhedshullet.

Fejlen er rettet i RouterOS v6.42.1 og v6.43rc4.

Apple retter macOS, iOS og Safari

Dansk

Apple har udsendt nye versioner af styresystemet macOS til Macintosh-computere og iOS til iPhone, iPad og iPod.

IOS 11.3.1 lukker fire sikkerhedshuller, hvoraf de to kan lade en angriber afvikle skadelig programkode.

To af sårbarhederne findes også i macOS. De er fjernet med Security Update 2018-001.

Endelig lukker browseren Safari version 11.1 to sikkerhedshuller.

Anbefaling

Opdater til de rettede versioner.

Drupal planlægger kritisk opdatering

Dansk

Drupal udsender en vigtig opdatering til CMS'et i morgen. Den ventes at lukke et kritisk sikkerhedshul.

Opdateringen udsendes den 25. april mellem klokken 18 og 20 og dansk tid.

Drupal har for nylig lukket et andet meget kritisk sikkerhedshul, som angribere udnytter for øjeblikket.

Anbefaling

Administratorer af Drupal-systemer bør forberede sig på at opdatere i morgen aften.

Sider

Abonnér på RSS - sårbarheder