sårbarheder

Cisco har lukket en sårbarhed i SSL-VPN-funktionen i Cisco Adaptive Security Appliance (ASA). Sårbarheden har fået en CVSS-score (Common Vulnerability Scoring System) på de maksimale 10.

En angriber kan udnytte sårbarheden ude fra nettet uden at angive brugernavn og password.

Produkter i ASA-serien og Firepower er sårbare, hvis funktionen Webvpn er slået til.

Fejlene er rettet i følgende ASA-versioner:

Firmwaren AsusWRT til flere routere fra Asus har to sårbarheder. Den ene giver uvedkommende mulighed for at uploade data til routeren. Den anden sårbarhed kan udnytte den første til at ændre på routerens konfiguration.

Herved kan en angriber få fuld kontrol over routeren.

Asus har lukket hullet med AsusWRT 3.0.0.4.384_10007.

Berørte modeller er:

Google har udsendt Chrome 64, der fjerner 53 sårbarheder fra browseren. Derudover skulle der også være indbygget metoder til at forhindre, at processorsårbarheden Spectre kan udnyttes.

Ingen af de 53 sårbarheder har fået Googles højeste risikovurdering. Tre af dem har fået den næsthøjeste. Den alvorligste sårbarhed findes i PDFium, den affødte en dusør på 3.000 dollars til sikkerhedsforskeren, der fandt den.

Fejlene er rettet i Chrome 64.0.3282.119 til Windows, macOS og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Den 23. januar udsendte Apple en stribe softwareopdateringer, der lukker sikkerhedshuller i iTunes til Windows, iCloud til Windows, Safari, watchOs, iOS, macOS og tvOS.

ITunes 12.7.3 for Windows lukker to sikkerhedshuller i WebKit.

iCloud for Windows 7.3 lukker de samme sikkerhedshuller.

Safari 11.0.3 lukker tre sikkerhedshuller i WebKit.

WatchOS 4.2.2 lukker 12 sikkerhedshuller.

IOS 11.2.5 lukker 13 sikkerhedshuller.

Udviklerne af Electron har lukket et alvorligt sikkerhedshul. Electron anvendes til udvikling af applikationer på tværs af platforme. Sårbarheden findes kun i applikationer til Windows udviklet med Electron.

Fejlen findes i applikationer, der registrerer sig som standardapplikation for en skræddersyet protokol af typen protokol://.

Chatprogrammerne Skype og Slack til Windows er berørt. Sikkerhedshullet er lukket i den seneste version.

Sårbarheden i Electron er lukket med version 1.8.2-beta.4, 1.7.11 og 1.6.16.

Sikkerhedsforsker Tavis Ormandy fra Google har fundet et sikkerhedshul i programmet Blizzard Update Agent, som installeres sammen med spil fra Blizzard. Programmet lader spillene blive opdateret automatisk.

Update Agent installerer en lokal web-server på brugerens computer. Opdateringsservere kommunikerer med den og giver den besked, når et program skal opdateres.

Sårbarheden består i, at andre websteder også kan kommunikere med den. Der er en adgangskontrol, men Tavis Ormandy har fundet en metode til at omgå den via såkaldt DNS-rebinding.

Den nyeste udgave af browseren Firefox lukker 32 sikkerhedshuller, hvoraf tre har fået Mozillas højeste risikovurdering.

13 er vurderet til høj risiko, 13 til moderat og tre til lav risiko.

Sikkerhedshullerne er lukket i version 58.

11 af sårbarhederne findes også i ESR-versionen. De er fjernet i Firefox ESR 52.6.

Anbefaling

Opdater til en rettet version.

Sikkerhedsforskere har opdaget svagheder i dating-appen Tinder til iOS og Android. Sårbarhederne skyldes, at appen ikke bruger HTTPS (Hypertext Transfer Protocol Secure) konsekvent.

Sårbarhederne medfører, at en angriber på samme netværk som offeret kan se, hvilke billeder vedkommende kigger på. Angriberen kan også indsætte sine egne billeder og se, om offeret fører sin finger mod venstre eller højre. Det markerer holdningen til personen på billedet.

Angriberne har ingen mulighed for at stjæle offerets brugernavn og password via sårbarhederne.

Intel har nu fundet årsagen til, at nogle systemer genstarter uønsket, efter at man har installeret en firmwareopdatering. Formålet med opdateringen er at beskytte mod Spectre-sårbarheden i firmaets processorer.

Fejlen opstår på processorer i familierne Broadwell og Haswell.

Intel har udsendt en ny version af firmwareopdateringen til computerproducenter. Når de er færdigtestet, bliver den generelt tilgængelig.

Indtil da anbefaler Intel, at man ikke installerer de opdateringer, der hidtil er udsendt.

I 2017 blev der opdaget 127 procent flere sårbarheder end året før. Det fremgår af statistikker fra USA's National Vulnerability Database.

I alt registrerede National Vulnerability Database 14.643 nye sårbarheder i it-systemer i 2017.

Over halvdelen fik risikovurderingen middel, mens over 4.000 blev regnet for høj risiko.

Andelen af kritiske sårbarheder faldt en smule fra 17 til 15 procent.