sårbarheder

Google lukker 32 huller i Android

Dansk

Novembers sikkerhedsopdateringer til Android lukker 32 sikkerhedshuller, hvoraf de ni er kritiske.

Opdateringerne er opdelt i sårbarheder i Android generelt og sårbarheder, der findes i specifikke hardware-konfigurationer.

Der er rettelser til 20 sårbarheder i den generelle Android og 12 produktspecifikke sårbarheder. Seks af de kritiske sårbarheder findes i Android generelt, mens tre er knyttet til trådløse netværksfunktioner i chips fra Qualcomm.

Google lukker kritisk hul i Chrome

Dansk

Chrome til Windows, Macintosh og Linux er opdateret til version 62.0.3202.89. Den lukker to sikkerhedshuller, hvoraf det ene er kritisk.

Den alvorlige sårbarhed er et bufferoverløb i QUIC (Quick UDP Internet Connections). Sikkerhedsforsker Ned Williamson rapporterede det til Google den 24. oktober. Google har endnu ikke afgjort, hvor stor en dusør han får for opdagelsen.

Den anden sårbarhed har fået Googles næsthøjeste risikovurdering. Den ligger i V8.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Tor Browser lukker hul i Mac- og Linux-version

Dansk

En sårbarhed i Tor Browser gør, at browseren kan lække brugerens IP-adresse, som Tor ellers burde skjule. Det skyldes en fejl i den måde, Firefox håndterer file-links på.

Fejlen findes kun i macOS- og Linux-versionerne af Tor Browser, Windows-versionen er ikke berørt.

Udviklerne har udsendt version 7.0.9 til de to platformen, mens Windows-brugere kan fortsætte på 7.0.8.

Endvidere er der udsendt en rettet udgave til alpha-serien, Tor Browser 7.5a7.

Anbefaling

Opdater til en rettet version.

Cisco lukker huller i trådløst udstyr

Dansk

Aironet 1560, 2800 og 3800 har to sårbarheder, der gør det muligt at sætte systemet ud af drift. Angriberen skal være inden for radiorækkevidde for at udnytte sårbarheden.

Den er en af flere sårbarheder, som Cisco har rettet. Der er også lukket to huller i Wireless LAN Controller.

Foruden det trådløse udstyr har Cisco rettet sårbarheder i Identity Services Engine, Firepower 4100 og 9300, Prime Collaboration Provisioning og Application Policy Infrastructure Controller Enterprise Module.

Anbefaling

Installer sikkerhedsopdateringerne.

OpenSSL lukker to huller

Dansk

Udviklerne af OpenSSL har fjernet to sårbarheder. Den ene har fået risikovurderingen medium, den anden regnes for lav.

Den alvorligste af sårbarhederne kan i teorien bruges til at knække krypteringsnøgler. I praksis vil det dog være meget vanskeligt, oplyser OpenSSL: Et angreb vil kræve så store computerressourcer, at kun få angribere vil have adgang til dem.

Udviklerne opdagede sårbarhederne ved hjælp af Googles tjeneste OSS-Fuzz. Det er en såkaldt fuzzer, der afprøver sikkerheden ved at sende en stor mængde forskellige inputdata til applikationen.

Konkurrence finder sårbarheder i Samsung, Apple og Huawei

Dansk

Konkurrencen Mobile Pwn2Own foregik i denne uge i Tokyo, Japan. Sikkerhedsforskere kappedes om at knække sikkerheden på smartphones.

Flere af deltagerne havde held med at afvikle skadelig programkode på enhederne.

Et hold fra firmaet 360 Security fik Samsung Internet Browser på en Samsung Galaxy S8 til at køre kode. Via en sårbarhed i en Samsung-app fik de den skadelige kode til at køre videre efter en genstart.

Tencent Keen Security Lab udnyttede fire sårbarheder til at afvikle kode og få øgede privilegier på en iPhone 7 med den nyeste version af iOS.

WordPress lukker alvorligt sikkerhedshul

Dansk

En sårbarhed i WordPress kan føre til SQL-indsætning. Fejlen ligger i funktionen $wpdb->prepare().

Selve WordPress er ikke direkte sårbar, men plugins og temaer kan være det.

Sårbarheden er en variant af en sårbarhed, som udviklerne forsøgte at fjerne med WordPress 4.8.2. Men sikkerhedsforsker Anthony Ferrara opdagede, at rettelsen ikke var effektiv.

Apple lukker huller i en række produkter

Dansk

Macintosh-brugere får lukket 147 sikkerhedshuller i den seneste version af macOS og de to foregående versioner. Det sker med macOS 10.13.1 High Sierra, Security Update 2017-001 Sierra og Security Update 2017-004 El Capitan.

De fleste sårbarheder findes i tcpdump, der er opdateret til version 4.9.2. Det skulle fjerne 90 sårbarheder.

Endvidere lukker opdateringerne sikkerhedshullerne kendt som KRACK (Key Reinstallation Attacks).

Styresystemet iOS til iPhone, iPad og iPod lukker 20 huller med version 11.1.

TvOS 11.1 lukker 19 huller.

OpenOffice lukker fire sikkerhedshuller

Dansk

Udviklerne af OpenOffice har lukket fire sikkerhedshuller. Angribere kan udnytte tre af dem til at afvikle skadelig programkode.

En sårbarhed ligger i behandlingen af filer i Word Doc-format med indlejrede fonte.

En anden kan udnyttes via en fil i PowerPoint-formatet PPT.

En sårbarhed i Writer kan også udnyttes via Doc-filformatet.

Den fjerde sårbarhed ligger i Calc og Writer. Den gør det muligt at læse en fil fra offerets filsystem.

Apache OpenOffice har givet alle sårbarhederne risikovurderingen medium.

Oracle lukker alvorligt hul i Identity Manager

Dansk

En sårbarhed med en CVSS-score (Common Vulnerability Scoring System) på 10 ud af 10 er opdaget i Oracle Identity Manager.

En angriber kan udnytte sårbarheden over netværk uden at være logget ind.

Oracle Identity Manager er en del af Oracle Fusion Middleware.

Sårbarheden findes i Identity Manager version 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 og 12.2.1.3.0.

Normalt udsender Oracle kun rettelser en gang i kvartalet. Men denne sårbarhed er vurderet til at være så alvorlig, at virksomheden har udsendt en rettelse uden for skemaet.

Sider

Abonnér på RSS - sårbarheder