sårbarheder

Drupal planlægger kritisk opdatering

Dansk

Drupal udsender en vigtig opdatering til CMS'et i morgen. Den ventes at lukke et kritisk sikkerhedshul.

Opdateringen udsendes den 25. april mellem klokken 18 og 20 og dansk tid.

Drupal har for nylig lukket et andet meget kritisk sikkerhedshul, som angribere udnytter for øjeblikket.

Anbefaling

Administratorer af Drupal-systemer bør forberede sig på at opdatere i morgen aften.

LinkedIn lukker hul

Dansk

En sikkerhedsforsker har opdaget en sårbarhed knappen AutoFill, som LinkedIn tilbyder til websteder.

Et websted kan integrere knappen på sine sider. Når en bruger klikker på knappen, udfyldes en række felter automatisk med oplysninger fra brugerens LinkedIn-profil.

Sikerhedsforsker Jack Cable opdagede, at knappen kunne placeres på ethvert websted. Den kunne gøres usynlig og udvides, så den fyldte hele skærmen. Hvis brugeren klikkede et sted på siden, ville oplysningerne automatisk blive udfyldt.

Cisco lukker kritiske huller i WebEx og UCS Director

Dansk

En sårbarhed i videokonferencesoftwaren WebEx giver en autentificeret angriber mulighed for at afvikle skadelig programkode på de computere, der deltager i videomødet. Det skyldes en fejl i håndteringen af Adobe Flash-filer, der kan uploades til et møde.

Cisco har rettet sårbarheden med disse versioner af klient- og serverprodukterne:

Google lukker to kritiske sikkerhedshuller i Chrome

Dansk

Google har udsendt Chrome 66. Den nye version lukker 62 sikkerhedshuller. To af dem har fået Googles højeste risikovurdering.

De ligger begge i systemet Disk Cache. Google har endnu ikke afgjort, hvor stor en dusør de afføder til sikkerhedsforsker Ned Williamson, der opdagede dem.

Andre sårbarheder ligger i blandt andet WebAssembly, PDFium, Kia og Service Worker.

Angribere udnytter hul i Drupal

Dansk

Udviklerne af Drupal lukkede et meget alvorligt sikkerhedshul i CMS'et den 28. marts. I sidste uge offentliggjorde en russisk sikkerhedsforsker programkode, der demonstrerer, hvordan sårbarheden kan udnyttes.

Kort tid derefter observerede sikkerhedsfirmaet Sucuri de første forsøg på at udnytte sårbarheden.

Flere sikkerhedsfirmaer rapporterer om servere, der er blevet inficeret med skadelig software. Det gælder blandt andet bagdøre og software, der danner kryptovaluta.

Oracle lukker 254 sikkerhedshuller

Dansk

Den seneste samling sikkerhedsopdateringer fra Oracle lukker 254 sikkerhedshuller i blandt andet Oracle Database Server, Fusion Middleware, E-Business Suite, PeopleSoft, Oracle Industry Applications (Construction, Financial Services, Hospitality, Retail, Utilities), Java, MySQL og Oracle Systems Products Suite.

Der er 14 rettelser til Java SE. 12 af sårbarhederne kan udnyttes over nettet af en angriber, der ikke behøver oplyse brugernavn og password. Den alvorligste sårbarhed har en CVSS-score (Common Vulnerability Scoring System) på 8,3.

Kriminelle misbruger 65.000 routere

Dansk

Netværksfirmaet Akamai har opdaget en metode, som it-kriminelle anvender til at udnytte andres routere til proxyer. De kan bruge proxyerne til at udsende spam eller andre illegale aktiviteter.

De kriminelle udnytter udbredte sårbarheder i implementeringer af UPnP (Universal Plug and Play). UPnP-tjenester bør som udgangspunkt kun kunne ses fra lokalnetsiden af routeren. Men nogle routere giver adgang til dem fra internetsiden.

SAP lukker kritisk sikkerhedshul

Dansk

En samling sårbarheder i SAP Business Client har fået firmaets højeste risikovurdering, "Hot News", med en CVSS-score (Common Vulnerability Scoring System) på 9,8.

Angribere kan udnytte sårbarhederne til at overtage kontrollen med applikationen, sætte systemet ud af drift eller afvikle kommandoer.

SAP har lukket sikkerhedshullet sammen med 15 andre i firmaets april-rettelser.

Fire af rettelserne har fået den næsthøjeste risikovurdering. Sårbarhederne findes i SAP Business One, Visual Composer og Business Objects.

Keywords: 

AMD lukker for Spectre-sårbarhed

Dansk

Med en kombination af software på operativsystemniveau og en mikrokode-opdatering kan brugere af AMD-baserede systemer beskytte sig mod Spectre-sårbarheden.

Spectre og Meltdown er sårbarheder på processorniveau, der udnytter processorernes metoder til at forudsige kommende instruktioner.

AMD har udsendt mikrokodeopdateringer til firmaets partnere. De fjerner muligheden for angreb af typen Spectre variant 2. Variant 1 er klaret som en ren softwareløsning. AMD's processorer er ikke sårbare over for Meltdown.

Microsoft lukker 65 sikkerhedshuller

Dansk

24 ud af de 65 sårbarheder i april-rettelserne fra Microsoft er kritiske. De findes blandt andet i Internet Explorer og scripting-systemet Chakra. En af de kritiske sårbarheder findes i Microsoft Malware Protection Engine, rettelsen til den blev udsendt allerede den 3. april.

Blandt de øvrige kritiske sårbarheder er en cross-site scripting-sårbarhed i Sharepoint. Den var kendt, før rettelsen blev udsendt.

Fem af de kritiske sårbarheder i Windows ligger i Windows Font Library, der håndterer skrifttyper.

Der er sikkerhedsopdateringer til disse produkter:

Sider

Abonnér på RSS - sårbarheder