sårbarheder

Drupal forbereder at lukke meget alvorligt hul

Dansk

Mellem klokken 20 og 21:30 onsdag den 28. marts udsender Drupal en opdatering, der fjerner en ekstremt kritisk sårbarhed i CMS'et. Der kommer rettelser til Drupal 7.x, 8.3.x, 8.4.x og 8.5.x.

Drupal er holdt op med at vedligeholde version 8.3 og 8.4. Men fordi sårbarheden er så alvorlig, kommer der alligevel også opdateringer til disse versioner.

Udviklerne forudser, at angrebsprogrammer til at udnytte sårbarheden kan blive udviklet i løbet af timer eller dage. De anbefaler derfor, at brugere af Drupal opdaterer hurtigst muligt.

ManageEngine lukker alvorlige sikkerhedshuller

Dansk

Sikkerhedsforskere fra firmaet Digital Defense har opdaget seks hidtil ukendte sårbarheder i ManageEngine. Det er et sæt værktøjer til system management, som især anvendes i større it-installationer.

Nogle af sårbarhederne lader en angriber uploade filer og afvikle skadelig programkode. Andre giver mulighed for SQL-indsætning eller adgang til API-nøgler.

Sårbarhederne er:

AMD gør klar til at lukke processorhuller

Dansk

AMD har analyseret de oplysninger om sårbarheder, som sikkerhedsfirmaet CTS Labs offentliggjorde tidligere på måneden. Analysen viser, at sårbarhederne er reelle, og firmaet arbejder nu på at lukke hullerne ved at opdatere firmwaren.

Opdateringerne ventes udsendt i de kommende uger.

Nogle af sårbarhederne findes i AMD Platform Secure Processor, andre ligger i Promontory-chipsættet.

SAP lukker 27 sikkerhedshuller

Dansk

Ingen af marts måneds sikkerhedsrettelser fra SAP lukker kritiske huller, men flere af sårbarhederne udgør en høj risiko.

Det gælder blandt andet sårbarheder i SAP Internet Graphics Server, der har fået en CVSS-score (Common Vulnerability Scoring System) på 8,8 ud af 10.

De fleste sårbarheder er af typen, hvor der mangler en kontrol af autorisation. Dem er der seks af, mens fem handler om afsløring af fortrolig information.

Der er fire sårbarheder af typen cross-site scripting og tre tilfælde af SQL-indsætning.

MikroTik lukker alvorligt hul i RouterOS

Dansk

Sikkerhedsfirmaet Core Security har fundet en sårbarhed i RouterOS fra det lettiske firma MikroTik. RouterOS er et Linux-baseret styresystem til routere, som anvendes i produkter fra MikroTik selv og mange andre virksomheder.

En udefrakommende angriber kan udnytte sårbarheden til at afvikle skadelig programkode på routeren.

Sikkerhedshullet ligger i behandlingen af SMB (Server Message Block). Det aktiveres, før brugeren bliver autentificeret, så en angriber har ikke brug for at kende et brugernavn og password for at udnytte det.

Konkurrence finder huller i Safari, Edge og Firefox

Dansk

Ved konkurrencen Pwn2Own 2018 har sikkerhedsforskere udnyttet hidtil ukendte sårbarheder til at afvikle skadelig programkode.

Konkurrencedeltagerne knækkede sikkerheden i Apples Safari, Microsoft Edge og Firefox. Der var også et delvis vellykket angreb på Oracle Virtualbox.

Arrangøren, Trend Micro's Zero Day Initiative (ZDI), sender nu information om sårbarhederne videre til producenterne. De har 90 dage til at lukke hullerne, før informationen bliver offentliggjort.

I alt blev der uddelt præmier for 267.000 dollars ved konkurrencen.

Microsoft dropper antiviruskrav til Windows 10-opdateringer

Dansk

Da Microsoft begyndte at udsende rettelser til processorsårbarhederne Meltdown og Spectre, krævede firmaet, at antivirusprogrammer skulle ændre en indstilling i registreringsdatabasen. Det skulle ske for at markere, at antivirusprogrammet var i stand til at køre, når opdateringerne var installeret.

Det krav er nu fjernet for Windows 10, men gælder stadig for ældre versioner af Windows.

Mozilla lukker 18 huller i Firefox

Dansk

Mozilla har udsendt Firefox 59, der fjerner 18 sårbarheder fra browseren. En del af dem findes også i ESR-versionen, de er rettet i version ESR 52.7.

De to alvorligste sårbarheder er knyttet til behandlingen af arbejdslageret.

Foruden sikkerhedsrettelserne giver den nye version øget privatlivsbeskyttelse ved privat browsing. Den kan fjerne følsom information fra URL'er såsom brugernavne, mail-adresser og lignende.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

AMD-processorer kan være sårbare

Dansk

Et sikkerhedsfirma ved navn CTS Labs har offentliggjort oplysninger om 13 sårbarheder i AMD-processorer. Sårbarhederne skulle findes i EPYC, Ryzen, Ryzen Pro og Ryzen Mobile.

Angribere kan udnytte sårbarhederne, hvis de har mulighed for at afvikle kode med privilegier som administrator/root.

Nogle af sårbarhederne ligger angiveligt i AMD Secure Processor, som indgår i mange af AMD's produkter. Det skulle være muligt at installere skadelig software i Secure Processor, hvilket vil være meget vanskeligt at opdage.

Adobe lukker huller i Flash, Dreamweaver og Connect

Dansk

Månedens sikkerhedsopdateringer fra Adobe lukker to kritiske sikkerhedshuller i Flash Player. Sårbarhederne giver angribere mulighed for at afvikle skadelig programkode.

Fejlene er rettet i Flash Player 29.0.0.113 til Windows, Mac, Linux og Chrome OS.

Der er også en kritisk sårbarhed i Adobe Dreamweaver CC. Den er rettet i version 18.1.

En opdatering til Adobe Connect lukker to sikkerhedshuller, som Adobe betegner som vigtige. Den enge giver mulighed for at slette filer, den anden tillader upload af SWF-filer.

Fejlene er rettet i Adobe Connect 9.7.5.

Sider

Abonnér på RSS - sårbarheder