Grammarly-tilføjelsen til Chrome lader brugere tjekke tekster for sprogfejl. Sikkerhedsforsker Tavis Ormandy fra Google har opdaget en sårbarhed, der giver ethvert websted adgang til en brugers data.
Sårbarheden skyldes, at Grammarly gør det muligt for et websted at se brugerens brugernavn og en tekst, der bruges til adgangskontrol. Dermed kan et websted, som brugeren af Grammarly besøger, give sig ud for at være brugeren og få adgang til alle dokumenter, brugeren har uploadet til Grammarly.
Cisco udsendte den 29. januar en opdatering til Adaptive Security Appliance (ASA), der lukkede et meget alvorligt sikkerhedshul. Sårbarheden har fået den højeste risikovurdering med en CVSS-score (Common Vulnerability Scoring System) på 10.
Virksomheden har opdaget, at rettelsen ikke lukkede sikkerhedshullet fuldstændigt. I går udsendte den derfor en opdateret version af rettelsen.
Cisco har også fundet yderligere metoder til at udnytte sårbarheden.
Systemer er sårbare, hvis SSL-tjenester (Secure Sockets Layer) eller IKE v2 (Internet Key Exchange) er slået til.
ManageEngine-programmerne ServiceDesk Plus, Service Plus MSP, OpManager, Firewall Analyzer, Network Configuration Manager, OpUtils og NetFlow Analyzer er sårbare. Producenten Zoho har udsendt opdateringer, der lukker sikkerhedshullerne.
En sårbarhed i ServiceDesk Plus lader en angriber uploade og køre en fil på systemet. Dermed kan angriberen få fuld kontrol over systemet.
Andre sårbarheder tillader SQL-indsætning, så angribere kan afvikle databasekommandoer.
Anbefaling
Installer de opdaterede versioner af ManageEngine-programmerne.
Lenovo Fingerprint Manager Pro gør det muligt at logge ind på en Lenovo-pc ved hjælp af et fingeraftryk. For at kunne gøre det opbevarer programmet blandt andet brugerens brugernavn og password i krypteret form.
En sikkerhedsforsker har opdaget, at programmet anvender en svag form for kryptering. Endvidere findes der et standardpassword, som kan give enhver bruger af pc'en adgang til data. Dermed kan en almindelig bruger finde frem til brugernavn og password for administratorbrugere.
En angriber skal have adgang til pc'en for at kunne udnytte sårbarheden.
Intel har advaret om, at der er fejl i firmaets tidligere udsendte firmwareopdatering til beskyttelse mod processorsårbarheden Spectre. Opdateringen kan få systemer til at genstarte eller på anden måde opføre sig uønsket. Det kan føre til tab af data.
Microsoft udsendte i sidste uge en opdatering, der forhindrer problemer på systemer, hvor firmwareopdateringen er installeret.
Opdateringen installeres ikke automatisk. Man kan hente den, hvis man har installeret firmwareopdateringen og oplever problemer.
Mozilla har lukket et alvorligt sikkerhedshul i Firefox. Sårbarheden har fået en CVSS-score (Common Vulnerability Scoring System) på 8,8 ud af 10. Udviklerne betegner den som kritisk.
Sårbarheden lader en webside afvikle kode, der er beregnet for elementer i browserens brugergrænseflade. Ved at indlejre skadelig HTML-kode i denne kode kan en angriber køre kommandoer på computeren.
Firefox 56, 57 og 58 er sårbare. Fejlen er rettet i Firefox 58.0.1.
Cisco har lukket en sårbarhed i SSL-VPN-funktionen i Cisco Adaptive Security Appliance (ASA). Sårbarheden har fået en CVSS-score (Common Vulnerability Scoring System) på de maksimale 10.
En angriber kan udnytte sårbarheden ude fra nettet uden at angive brugernavn og password.
Produkter i ASA-serien og Firepower er sårbare, hvis funktionen Webvpn er slået til.