sårbarheder

En sårbarhed i BIND kan få DNS-serveren til at gå ned. Det kræver dog, at serveren anvender DNSSEC (Domain Name System Security Extensions).

Fejlen har været i BIND siden år 2000.

ISC, der udvikler BIND, har fjernet sårbarheden med disse versioner:

• 9 version 9.9.11-P1
• 9 version 9.10.6-P1
• 9 version 9.11.2-P1
• 9 version 9.12.0rc2

Anbefaling

Opdater til en rettet version.

Rettelser til processorsårbarhederne Meltdown og Spectre er blandt indholdet af Oracles Critical Patch Update for januar kvartal. Det gælder blandt andet rettelser til firmaets x86-baserede servere og VirtualBox.

Udviklerne af WordPress har lukket et sikkerhedshul i biblioteket MediaElement 4.

Sårbarheden ligger i en Flash-baseret funktion i MediaElement. De fleste brugere kan klare sig uden, så derfor er den fjernet fra standardinstallationen af WordPress.

Hvis man har brug for den Flash-baserede udgave, kan man hente en opdateret version som et plugin.

Fejlen er rettet i WordPress 4.9.2.

Anbefaling

Opdater WordPress.

Sikkerhedsforskere har opdaget en ny angrebsmetode, der anvender funktionen subDoc i Microsoft Word. SubDoc gør det muligt at angive et underdokument, der skal indlæses i det aktuelle dokument.

Underdokumentet kan befinde sig på en anden computer. Sikkerhedsfirmaet Rhino Security Labs har opdaget, at når Word forsøger at hente underdokumentet, og det ligger på en password-beskyttet server, prøver Word at logge ind. Derved sendes brugerens navn og hashfunktionen af adgangskoden til serveren.

Intel oplyser, at nogle få kunder har oplevet flere system-genstarter, efter at de har installeret firmware-opdateringer. Det drejer sig om både pc'er og servere.

Problemerne rammer systemer med CPU'erne Broadwell og Haswell.

Intel er ved at undersøge problemet. Løsningen kan vise sig at være en ny udgave af firmwaren.

Lenovo oplyser, at firmaet har modtaget mikrokode-opdateringer fra Intel. Siden har Intel trukket en af dem tilbage. Kunder anbefales at vente med at installere to øvrige opdateringer, indtil problemer med dem er løst.

IBM's POWER-processorer er berørt af sårbarhederne Spectre og Meltdown. For at lukke hullerne skal man installere firmware-opdateringer og softwareopdateringer.

Rettet firmware til POWER7+ og POWER8 er udsendt.

Firmwareopdatering til POWER9 er klar den 15. januar. IBM har endnu ikke oplyst, hvornår rettelser til ældre arkitekturer er klar.

Opdateringer til Linux er klar.

Opdateringer til AIX og IBM i (det tidligere OS/400) ventes klar den 12. februar.

Anbefaling

Installer opdateringer fra IBM.

Microsoft oplyser, at Windows 7 og 8 på ældre hardware kører lidt langsommere, efter at man installerer sikkerhedsopdateringer rettet mod Spectre og Meltdown. Det er sårbarheder i processorer.

"De fleste brugere vil opleve en nedgang i systemets ydeevne," skriver Microsoft i et blogindlæg.

Med ældre hardware menes Intel-processorer fra 2015 eller før.

Nogle brugere vil også opleve en sløvere pc med Windows 10, hvis den kører på ældre hardware. Har man en processor fra 2016 eller senere, vil den negative indvirkning derimod være så lille, at den næppe bemærkes.

De 56 sikkerhedsrettelser i januars samling fra Microsoft omfatter de rettelser til hardwaresårbarhederne Meltdown og Spectre, der blev udsendt tidligere på måneden.

I alt har Microsoft givet 16 af sårbarhederne firmaets højeste risikovurdering. Dog er der 28 sårbarheder, som lader angribere afvikle skadelig programkode.

De kritiske sårbarheder berører Windows, Outlook, Word og scripting-delen af browserne Internet Explorer og Edge.

Anbefaling

Test og installer opdateringerne fra Microsoft.

Adobe har udsendt en opdatering til Flash Player, der fjerner en sårbarhed. Den kan medføre, at uvedkommende får adgang til fortrolig information.

Adobe betegner opdateringen som vigtig, men ikke kritisk.

Fejlen er rettet i Adobe Flash Player version 28.0.0.137 til alle platforme.

Anbefaling

Opdater Flash Player eller afinstaller produktet, hvis I kan undvære det.

Apple har opdateret macOS, iOS og Safari. De nye versioner skal begrænse risikoen for, at Spectre kan udnyttes. Det drejer sig om sårbarhederne CVE-2017-5753 og CVE-2017-5715.

De opdaterede versioner er macOS High Sierra 10.13.2 Supplemental Update, iOS 11.2.2 og Safari 11.0.2.

Spectre er et par sårbarheder, der findes i processorer fra flere producenter. Det kræver en opdatering af hardwaren at fjerne dem, men man kan via software mindske risikoen for, at de kan udnyttes.