Microsoft har tidligere oplyst, at der er særlige krav til pc'er, der skal have den opdatering, som skal forhindre udnyttelsen af hardwaresårbarhederne Spectre og Meltdown: Antivirusprogrammet på pc'en skal sætte en nøgle i registreringsdatabasen, der angiver, at det er kompatibelt med rettelsen.
Nu har Microsoft udvidet begrænsningen til at gælde alle fremtidige sikkerhedsopdateringer til Windows.
Dermed risikerer brugere af Windows at gå glip af rettelser, hvis den pågældende nøgle ikke ændres.
Ifølge Microsoft er computerne gået ind i en tilstand, hvor de ikke kan bootes. Som følge af problemerne holder Microsoft nu op med at distribuere de sikkerhedsopdateringer, som firmaet udsendte den 3. januar. De kan hverken fås gennem Windows Update eller WSUS (Windows Server Update Services).
Formålet med opdateringerne er at mindske risikoen for, at angreb udnytter processorsårbarhederne Spectre og Meltdown.
Microsoft og AMD arbejder på at løse problemet, så opdateringerne senere kan blive installeret.
Microsoft har udsendt opdateringer til Windows, som skal forhindre, at angribere udnytter chip-sårbarhederne Meltdown og Spectre. Men opdateringerne kan medføre problemer, hvis antivirusprogrammer ikke er forberedt på dem.
Derfor skal antivirusproducenterne ændre på en indstilling i registreringsdatabasen for at signalere, at deres produkt kan fungere med opdateringerne.
Hvis oplysningen i registreringsdatabasen ikke er ændret, bliver opdateringen ikke installeret.
En sårbarhed i Intel-processorer giver normale programmer adgang til at læse data i arbejdslageret, der burde være reserveret til kernen. Fejlen findes i de fleste Intel-processorer fremstillet siden 2011.
Sårbarheden, som DKCERT skrev om i går, har nu fået navnet Meltdown.
Også nogle varianter af Arm Cortex-processorer er berørt. Derimod er AMD-processorer ikke sårbare.
Samtidig er en anden processor-sårbarhed opdaget: Spectre. Den lader normale applikationer få fat i information fra andre kørende processer.
PhpMyAdmin 4.7.7 fjerner en sårbarhed af typen cross-site request forgery (CSRF) i værktøjet til web-baseret administration af MySQL-databaser.
En angriber kan udnytte sårbarheden ved at udforme et link på en særlig måde. Hvis en administrator af en database bliver narret til at åbne linket, kan der blive slettet en tabel i databasen.
Linux-udviklerne har udsendt opdateringer til Linux, der skal lukke et alvorligt sikkerhedshul i Intel-processorer. Nærmere detaljer om hullet er endnu ikke offentliggjort.
Sårbarheden ser ud til at ligge i behandlingen af virtuel hukommelse. Ifølge The Register kan den bestå i, at programmer kan tilgå data, der burde være reserveret kernen.
Nærmere detaljer ventes offentliggjort i morgen.
AMD oplyser, at deres processorer ikke er berørt.
Rettelsen til Linux indfører en funktion, der kaldes Kernel Page Table Isolation (KPTI).
I oktober opdagede sikkerhedsforskere, at det er muligt at afvikle kode i Word-dokumenter uden brug af makroer. I stedet kan man anvende DDE (Dynamic Data Exchange), der er beregnet til dataudveksling mellem applikationer.
Metoden afføder et par advarsler til brugeren, når man prøver at åbne et dokument, hvor den anvendes.
Microsoft reagerede først med at sige, at funktionen fungerede som planlagt. Firmaet havde ingen planer om at ændre den.
Fortinet har lukket et sikkerhedshul i FortiClient til Windows, Mac og Linux. Sårbarheden kan udnyttes af angribere, der bruger samme computer som offeret.
Sårbarheden består i, at brugernavn og password for de enkelte brugere gemmes enten i registreringsdatabasen (Windows) eller i filer (Mac og Linux). Oplysningerne er krypteret, men krypteringsnøglen kan hentes ud fra FortiClient-programmet.
Apple har lukket sikkerhedshullet KRACK (Key Reinstallation Attacks) i firmaets AirPort-systemer. Det sker med to firmware-opdateringer, en AirPort Base Station Firmware Update 7.6.9 og 7.7.9.
Firmaets HomeKit har også en sårbarhed. Den lader angribere kontrollere dørlåse, garagedøre, termostater og andre systemer, som HomeKit styrer.
Hullet lukket med iOS 11.2.1 og tvOS 11.2.1.
Endelig er der lukket seks sikkerhedshuller i iCloud for Windows med version 7.2.
