Cisco er i øjeblikket ved at gennemsøge sine produkter for at fastlægge hvilke af dem, der anvender Linux kernel 3.9 og derover, som er sårbar overfor FragmentSmack denial-of-service (DoS)-problemet.
Netværksproducenten har nu samlet en liste med over 80 produkter, der er berørt af sårbarheden. Det oplyser firmaet i en ny opdatering af en sikkerhedsadvarsel fra august.
Indtil der kommer rettelser, anbefaler Cisco, at man kontrollerer produktdokumentationen for at finde eventuelle workarounds.
Flere sårbarheder i Cisco WebEx Network Recording Player til Advanced Recording Format (ARF) kan potentielt give uautoriserede og eksterne angribere mulighed for afvikling af ondsindet kode på sårbare systemer.
Ciscos WebEx møde-service er en konference-løsning, der varetages af firmaet. ARF-afspilleren er en applikation, der anvendes til at afspille og redigere ARF-filerne.
Flere svagheder i Apple Support til iOS, Safari, watchOS, tvOS og iOS giver en angriber en potentiel mulighed for at afvikle ondsindet kode på usikre systemer.
Det er tid til at opdatere Mozillas Firefox og Firefox Extended Support Release (ESR). Der er nemlig blevet rapporteret om sårbarheder i de to internet-browsere.
Den mest alvorlige sårbarhed tillader potentielt afvikling af ondsindet kode på sårbare systemer. Afhængig af de rettigheder, der er tilknyttet brugeren, kan en angriber se, ændre og slette data samt oprette nye konti med tilhørende rettigheder.
Mozilla Firefox i versioner tidligere end 62 og Mozilla Firefox ESR i versioner tidligere end 60.2 er berørt. Anvender du disse versioner, skal der altså opdateres.
Cisco har netop publiceret en hel stribe sikkerhedsadvarsler om sårbarheder, der er identificeret i virksomhedens produkter.
Det er dog kun tre af advarslerne, der henviser til sikkerhedsproblemer med alvorlig indvirkning. Herunder den nyligt opdagede sårbarhed i Apache Struts, der potentielt kan udnyttes til afvikling af ekstern kode på sårbare systemer.
Yderligere 13 advarsler fra Cisco er kategoriseret med stemplet ’High’.
Du kan få overblikket og yderligere informationer om de enkelte svagheder på Ciscos websted via linket herunder.
Antallet af registrerede sårbarheder er nu på 10.644 i det første halvår af 2018. Det har sikkerhedsfirmaet Risk Based Security opgjort.
Risk Based Securitys tal er på 3.279 flere end antallet af opgjorte sårbarheder, som er anført med et CV-nummer af National Vulnerability Database (NVD), der er den amerikanske stats officielle registrant af sårbarheder.
73 procent af sårbarhederne, som er registreret i 2018, har en dokumenteret opdatering, der lapper hullet, oplyses det i rapporten.
På DEF CON-sikkerhedskonferencen, der netop er løbet af stablen i Las Vegas i USA, rapporterede firmaet Kryptowire, at deres sikkerhedsforskere har identificeret 47 sårbarheder i firmware eller præinstallerede apps på 25 Android-baserede telefoner.
Svaghederne strækker sig fra simple fejl, der kan få telefonen til at gå ned, til mere alvorlige svagheder, som i de mest graverende tilfælde kan give angriberen root-adgang.
Problemet opstår i forbindelse med, at brugeren anvender kommandoen ”objdump”.
The GNU Binary Utilities eller Binutils er programmeringsværktøjer til eksempelvis håndtering og udvikling af programmer, objektfiler, biblioteker. GNU libiberty er et software-bibliotek, der anvendes af forskellige GNU-programmer, og det er inkluderet i GNU Binutils.
Hvis sårbarhederne udnyttes, kan en angriber nægte brugeren adgang til services. Afhængig af de rettigheder, der er koblet til applikationen, kan der installeres programmer, ændres data, oprettes nye konti eller slettes filer.
SettingContent-ms er en XML-fil, der potentielt kan anvendes som transportvej til ondsindet kode.
Normalt anvendes fil-typen til at kontrollere kontrolpanelets indstillinger, men det har nu vist sig, at der kan implementeres ondsindet kode i XML-filen via tag’et <DeepLink>.
SettingContent-ms sniger sig uden om Microsofts Attack Surface Reduction ASR og OLE-beskyttelsen i Windows, som normalt anvendes til at filtrere kendte ’dårlige’ filer og sub-processer, og på den måde smutter XML-filen uset gennem sikkerhedsnåleøjet.
WordPress har udsendt rettelser til to sårbarheder i Tooltipy-indstikket, hvor den ene potentielt kan give en uvedkommende adgang til foretage de samme ændringer som en administrator af en WordPress-side.
Tooltipy-indstikket kan automatisk oprette responsive værktøjsbokse, hvor der i en boks kan forklares tekniske nøgleord på websiden. Formålet er at give besøgende på websiden et hurtigt overblik, mens der surfes.
Begge sårbarheder er blevet adresseret af CMS-producenten. Der er med andre ord blevet rettet i koden, så der ikke længere er huller efter en opdatering.
