En CVSS-score (Common Vulnerability Scoring System) på 10 er den højeste risikovurdering af en sårbarhed. Den har en af de nyopdagede sårbarheder i Oracle Tuxedo fået.
En anden er vurderet til 9,9, mens de øvrige er på henholdsvis 7,5, 7 og 5,3.
Sårbarhederne findes i Jolt-serveren, der er indbygget i Tuxedo.
Peoplesoft er blandt de produkter, der bruger Tuxedo. Derfor kan en angriber udnytte sårbarhederne til at få fuld kontrol med et Peoplesoft-system.
November måneds sikkerhedsrettelser fra Adobe lukker 80 sikkerhedshuller i ni produkter: Flash Player, Photoshop CC, Adobe Connect, Acrobat og Reader, DNG Converter, InDesign CC, Digital Editions, Shockwave Player og Adobe Experience Manager.
56 sårbarheder findes i Acrobat og Reader til Windows og Macintosh. Flere af dem er kritiske. Fejlene er rettet i versionerne 2018.009.20044, 2017.011.30068, 2015.006.30392 og 11.0.23.
Der er fem kritiske sårbarheder i Flash Player. De er rettet med version 27.0.0.187.
Sikkerhedsfirmaet Appthority har opdaget, at 85 udviklerkonti på tjenesten Twilio har lagt deres brugernavn og password ind i de apps, de har udviklet. Dermed kan uvedkommende få adgang til de data, appen sender gennem Twilio.
Twilio er en cloud-tjeneste, der lader apps ringe, modtage opkald og udveksle SMS'er via forskellige telefoni-udbydere.
Appthority opdagede sårbarheden i april. De analyserede over 1.000 apps, hvoraf 685 havde sårbarheden. Både Android og iOS er berørt.
Novembers sikkerhedsopdateringer til Android lukker 32 sikkerhedshuller, hvoraf de ni er kritiske.
Opdateringerne er opdelt i sårbarheder i Android generelt og sårbarheder, der findes i specifikke hardware-konfigurationer.
Der er rettelser til 20 sårbarheder i den generelle Android og 12 produktspecifikke sårbarheder. Seks af de kritiske sårbarheder findes i Android generelt, mens tre er knyttet til trådløse netværksfunktioner i chips fra Qualcomm.
Chrome til Windows, Macintosh og Linux er opdateret til version 62.0.3202.89. Den lukker to sikkerhedshuller, hvoraf det ene er kritisk.
Den alvorlige sårbarhed er et bufferoverløb i QUIC (Quick UDP Internet Connections). Sikkerhedsforsker Ned Williamson rapporterede det til Google den 24. oktober. Google har endnu ikke afgjort, hvor stor en dusør han får for opdagelsen.
Den anden sårbarhed har fået Googles næsthøjeste risikovurdering. Den ligger i V8.
En sårbarhed i Tor Browser gør, at browseren kan lække brugerens IP-adresse, som Tor ellers burde skjule. Det skyldes en fejl i den måde, Firefox håndterer file-links på.
Fejlen findes kun i macOS- og Linux-versionerne af Tor Browser, Windows-versionen er ikke berørt.
Udviklerne har udsendt version 7.0.9 til de to platformen, mens Windows-brugere kan fortsætte på 7.0.8.
Endvidere er der udsendt en rettet udgave til alpha-serien, Tor Browser 7.5a7.
Aironet 1560, 2800 og 3800 har to sårbarheder, der gør det muligt at sætte systemet ud af drift. Angriberen skal være inden for radiorækkevidde for at udnytte sårbarheden.
Den er en af flere sårbarheder, som Cisco har rettet. Der er også lukket to huller i Wireless LAN Controller.
Foruden det trådløse udstyr har Cisco rettet sårbarheder i Identity Services Engine, Firepower 4100 og 9300, Prime Collaboration Provisioning og Application Policy Infrastructure Controller Enterprise Module.
Udviklerne af OpenSSL har fjernet to sårbarheder. Den ene har fået risikovurderingen medium, den anden regnes for lav.
Den alvorligste af sårbarhederne kan i teorien bruges til at knække krypteringsnøgler. I praksis vil det dog være meget vanskeligt, oplyser OpenSSL: Et angreb vil kræve så store computerressourcer, at kun få angribere vil have adgang til dem.
Udviklerne opdagede sårbarhederne ved hjælp af Googles tjeneste OSS-Fuzz. Det er en såkaldt fuzzer, der afprøver sikkerheden ved at sende en stor mængde forskellige inputdata til applikationen.
