sårbarheder

Mozilla lukker 24 sikkerhedshuller i Firefox

Dansk

Foruden rettelserne lancerer Firefox 51 en advarsel mod websteder, der ikke beskytter fortrolig information. I første omgang bliver det via et ikon med en grå hængelås med en rød streg over. Det vises på sider, der indsender passwords uden at bruge HTTPS (Hypertext Transfer Protocol Secure) til at beskytte forbindelsen.

Senere vil det blive udvidet med en advarsel, der vises, når brugeren begynder at indtaste sit password.

I fremtiden vil ikonet blive vist for alle sider, der ikke anvender HTTPS.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

Cisco prøver at lukke hul i WebEx-udvidelse

Dansk

Sårbarheden gør det muligt at afvikle skadelig programkode på en pc, der kører WebEx-udvidelsen i en browser. Det oplyser sikkerhedsforsker Tavis Ormandy fra Google.

Ifølge sikkerhedsforsker Filippo Valsorda kan sårbarheden fortsat udnyttes i den rettede version af udvidelsen. Her skal offeret dog klikke Ok i en dialogboks. Hvis der findes cross-site scripting-sårbarheder på et websted under webex.com, kan de også udnyttes sammen med sårbarheden.

Anbefaling

Overvej at afinstallere WebEx-udvidelsen, indtil en sikker rettelse er klar.

Apple retter iOS, macOS, tvOS, watchOS, iCloud og iTunes

Dansk

Styresystemet til iPhone, iPad og iPod er opdateret til iOS 10.2.1. Det lukker 18 sikkerhedshuller.

Styresystemet til Mac-computere er opdateret til macOS Sierra 10.12.3, der lukker 11 huller. Desuden er sikkerhedsrettelserne fra Safari 10.0.3 inkluderet.

Browseren Safari 10.0.3 lukker 12 sikkerhedshuller.

ITunes 12.5.5 for Windows retter fire sårbarheder. De samme fire sårbarheder er rettet i iCloud for Windows 6.1.1.

Styresystemet tvOS til Apple TV er opdateret til version 10.1.1. Den lukker 12 sikkerhedshuller.

Docker lukker sikkerhedshul

Dansk

Sårbarheden ligger i funktionen "docker exec". Fejlen stammer fra funktionen Runc fra Opencontainers-projektet. Docker er en af flere container-løsninger, der anvender den kode.

Sårbarheden kan udnyttes ved at udføre en kommando via "exec" i en container, der allerede kører. En proces i containeren kan få adgang til mapper på host-computerens filsystem.

Docker har rettet fejlen med Docker Engine 1.12.6.

Anbefaling

Opdater til Docker Engine 1.12.6.

Oracle lukker 270 sikkerhedshuller

Dansk

Der er 17 sikkerhedsrettelser til Java. 16 af sårbarhederne kan udnyttes over netværk af en ikke-autentificeret bruger.

MySQL får 27 rettelser, hvoraf fem kan udnyttes af udefrakommende angribere.

Over 100 af rettelserne er til sårbarheder i Oracle E-Business Suite.

I alt er der 16 kritiske sårbarheder i kvartalets rettelser. En af dem har fået den højeste mulige CVSS-score (Common Vulnerability Scoring System) på 10.

Anbefaling

Test og installer sikkerhedsopdateringerne fra Oracle.

US-CERT advarer om angreb på SMB

Dansk

SMB (Server Message Block) er en udbredt protokol til fil- og printerdeling i Windows-miljøer. En hackergruppe ved navn Shadow Brokers har sat en række hacking-værktøjer, der skulle stamme fra NSA (National Security Agency), til salg på nettet.

Blandt værktøjerne skal der være et program, der udnytter en hidtil ukendt sårbarhed i SMB.

For at beskytte mod angreb på den sårbarhed samt andre kendte sikkerhedshuller anbefaler US-CERT, at man begrænser brugen af SMB-protokollen.

Legetøjsur var inficeret med skadelig software

Dansk

Siden oktober 2016 er der solgt omkring 6.500 eksemplarer af uret i Norden, hovedsagelig i BR Legetøj og Toys'r'us.

Uret er inficeret med en ældre virus, der kun kan inficere ældre Windows-versioner, primært Windows XP.

Anbefaling

Hvis man har købt uret og brugt det med en computer med Windows XP, kan man kontakte BR's kundeservice. Det er også muligt at henvende sig i butikken, hvor uret er købt, og få pengene tilbage.

Keywords: 

304 apps lækker fortrolige nøgler til web-tjenester

Dansk

I november lancerede sikkerhedsfirmaet Fallible et gratis online værktøj til at analysere apps til Android. Siden da har firmaet selv og andre brugere anvendt værktøjet til at analysere godt 16.000 apps.

Analysen ser blandt andet på, om appen indeholder nøgler eller andre fortrolige oplysninger. Det gjorde godt 2.500 apps. Mange af nøglerne er dog harmløse og kan ikke misbruges.

304 apps indeholdt nøgler, som giver adgang til API'erne (Application Programming Interface) hos en række webtjenester. Blandt de berørte tjenester var Twitter, Instagram og Uber.

Sider

Abonnér på RSS - sårbarheder