sårbarheder

Mozilla lukker 18 huller i Firefox

Dansk

Som sædvanlig omfatter sikkerhedsrettelserne en samling rettelser af fejl i håndteringen af arbejdslageret. Den sårbarhed er den eneste, der har fået Mozillas højeste risikovurdering i denne omgang.

Seks af de 18 sårbarheder har fået den næsthøjeste risikovurdering.

Fejlene er rettet i Firefox 56 og, hvor det er relevant, i Firefox ESR 52.4.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

D-Link lukker huller i DIR-850L-router

Dansk

Den 8. september offentliggjorde sikkerhedsforsker Pierre Kim en række sårbarheder i routeren DIR-850L. D-Link har nu udsendt opdateret firmware, der lukker de fleste af hullerne.

Der var i alt 18 sårbarheder. Ifølge Pierre Kim er en af dem ikke rettet. To andre har han ikke tjekket.

Der er to sæt af sikkerhedsrettelser, en til version A af firmware og en til version B.

Anbefaling

Opdater firmware til DIR-850L.

Samba lukker tre sikkerhedshuller

Dansk

Udviklerne af netværkssoftwaren Samba har udsendt sikkerhedsrettelser, der fjerner tre sårbarheder.

En af sårbarhederne rammer alle versioner af SMB, mens en anden kun gælder for SMB version 3. De kan udnyttes i forbindelse med man-in-the-middle-angreb.

Den sidste sårbarhed findes kun SMB v1. Her kan klienter få adgang til fortrolig information.

Fejlene er rettet med patches. Endvidere kan man opdatere til disse rettede versioner: Samba 4.6.8, 4.5.14 og 4.4.16.

Anbefaling

Opdater Samba.

Nvidia lukker sikkerhedshuller i grafikdrivere

Dansk

Fire af de otte sårbarheder har fået en CVSS-score (Common Vulnerability Scoring System) på 8,8 ud af 10. Dermed udgør de en høj risiko. En lokal bruger kan udnytte dem til at få software til at gå ned eller til at opnå øgede privilegier.

De øvrige sårbarheder er mindre alvorlige.

Sårbarhederne findes i drivere til GeForce, NVS, Quadro og Tesla. Nogle af dem berører kun Windows-versionen, andre gælder også for Linux, FreeBSD og Solaris.

Anbefaling

Opdater til en rettet version af driversoftwaren.

Google lukker tre huller i Chrome

Dansk

I sidste uge lukkede Google tre sikkerhedshuller i Chrome. To af dem har fået firmaets næsthøjeste risikovurdering.

Begge de to sårbarheder ligger i V8. De affødte henholdsvis 7.500 dollars og 3.000 dollars i dusør til de sikkerhedsforskere, der opdagede dem.

Fejlene er rettet i version 61.0.3163.100 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Apache lukker to sikkerhedshuller i Tomcat

Dansk

Apache Tomcat 7.0.81 blev udsendt den 16. august. Apache har nu frigivet information om to sårbarheder, der blev fjernet ved den lejlighed.

Den ene gør det muligt at uploade en JSP-fil til serveren. Angriberen kan derefter køre filen og dermed afvikle skadelig programkode på serveren. Sårbarheden kan kun udnyttes på Windows, og kun hvis HTTP PUT er slået til.

Den anden sårbarhed gør det muligt at se kildekoden for JSP-filer.

Apache giver begge sårbarheder den næsthøjeste risikovurdering.

Anbefaling

Opdater til Apache Tomcat 7.0.81.

Apple retter iOS, Safari, tvOS, watchOS og Xcode

Dansk

Den seneste udgave af styresystemet til iPhone, iPad og iPod er iOS 11. Den lukker otte sikkerhedshuller.

Version 11 af browseren Safari lukker tre sikkerhedshuller.

Programmeringsværktøjet Xcode er kommet i version 9, der lukker syv sikkerhedshuller.

Endvidere har Apple udsendt tvOS 11 og watchOS 4, men firmaet har endnu ikke offentliggjort, hvilke sårbarheder de retter.

Den 12. september udsendte Apple iTunes 12.7 til macOS og Windows, men heller ikke dem er der offentliggjort detaljer om endnu.

Anbefaling

Opdater til seneste version.

WordPress lukker ni sikkerhedshuller

Dansk

Den nye version 4.8.2 fra WordPress retter ni sårbarheder. En af dem ligger i funktionen $wpdb->prepare(), der kan danne usikre forespørgsler, som kan føre til SQL-indsætning. Selve WordPress-kernen er ikke ramt af SQL-indsætning, men plugins og temaer der anvender funktionen, kan blive ramt.

Fem af de øvrige sårbarheder er af typen cross-site scripting.

Hvis man har slået automatisk opdatering til, vil ens WordPress automatisk blive opdateret inden for et døgn.

Anbefaling

Slå automatisk opdatering til eller opdater manuelt.

VMware lukker alvorligt hul i ESXi, Workstation og Fusion

Dansk

En sårbarhed i et virtuelt grafikkort giver applikationer i en virtuel maskine mulighed for at afvikle kode på den fysiske maskine, den kører på. Sårbarheden ligger i SVGA-enheden.

Fejlen findes i ESXi 6.5, Workstation 12.x og Fusion 8.x. Den er rettet i Workstation 12.5.7, Fusion 8.5.8 og med patchen ESXi650-201707101-SG til ESXi.

Ved samme lejlighed har VMware også rettet et par mindre alvorlige fejl i de samme produkter samt i vCenter Server 6.5.

Anbefaling

Opdater til en rettet version af de berørte produkter.

Magento lukker sikkerhedshuller

Dansk

Den alvorligste sårbarhed i Magentos seneste sikkerhedsrettelser har fået en CVSS-score (Common Vulnerability Scoring System) på 8,2 ud af 10. Dermed regnes den for alvorlig.

En autentificeret administrator med begrænsede privilegier kan udnytte sårbarheden til at afvikle skadelig programkode.

Derudover lukker Magento tre sikkerhedshuller med risikovurderingen høj og 28 med mellemstor risiko. Endelig er der to lavrisikosårbarheder.

Fejlene er rettet i Magento Commerce og Open Source 2.1.9 og 2.0.16.

Anbefaling

Opdater til en rettet version.

Sider

Abonnér på RSS - sårbarheder