Oktober måneds sikkerhedsrettelser fra Microsoft lukker 63 sikkerhedshuller i produkterne Internet Explorer, Edge, Windows, Office, Skype og ChakraCore.
Sårbarhedsfirmaet Qualys fremhæver sårbarheden CVE-2017-11826 i Office som en af de alvorligste. Hvis en angriber kan narre sit offer til at åbne et Office-dokument, kan der afvikles skadelig programkode. Angribere udnytter metoden til aktive angreb.
Den sårbarhed har Microsoft givet firmaets næsthøjeste risikovurdering. Den højeste vurdering er givet til 28 af sårbarhederne.
Hewlett Packard Enterprise har lukket otte sikkerhedshuller i HPE Intelligent Management Center (iMC) PLAT. Syv af dem er rapporteret via Zero Day Initiative.
De alvorligste sårbarheder giver angribere mulighed for at afvikle skadelig programkode på computeren.
Apple har udsendt macOS High Sierra 10.13 Supplemental Update. Den ekstraordinære opdatering skyldes, at en sikkerhedsforsker har fundet et alvorligt hul i beskyttelsen af krypterede APFS-diske.
Sårbarheden gør det muligt at se det password, der skal indtastes for at få adgang til den krypterede disk.
Opdateringen lukker endvidere et sikkerhedshul, der lader skadelige applikationer få fat i passwords lagret i keychain.
Når man henter macOS High Sierra 10.13, er den udstyret med sikkerhedsopdateringen.
Flere alvorlige sårbarheder i DNS-serverprogrammet Dnsmasq blev rettet for nylig med version 2.7.8 af programmet. En række virksomheder anvender Dnsmasq i deres produkter, og nogle af dem er kommet med udgaver, der indeholder den opdaterede version.
Ifølge SecurityWeek gælder det blandt andre disse firmaer og produkter:
Sikkerhedsopdateringerne er opdelt i to afdelinger: En med rettelser til elementer, der findes i de fleste Android-varianter, og en med rettelser til specifikke hardware-versioner.
Tre af de generelle sårbarheder har fået Googles højeste risikovurdering. De findes alle i Media framework, der også tidligere har haft en række alvorlige sårbarheder. Angribere kan udnytte dem til at afvikle skadelige programmer på enheden.
To af de hardwarespecifikke sårbarheder er kritiske. De findes i enheder med Qualcomm-komponenter.
Sikkerhedsfirmaet Wordfence opdagede sårbarhederne, da det undersøgte firmaer, hvis WordPress-installationer blev hacket. Det viste sig, at alle de tre plugins havde en sårbarhed, der lod en angriber placere en fil på dem.
Dermed kunne hackeren udarbejde en fil, der gav fuld adgang til webstedet, og placere den et sted, hvor den kunne afvikles.
Opdateringerne blev udsendt fra den 23. til den 29. september. De fjerner sårbarheder i flere modeller af routere, switche, DSL-gateways, modemer, trådløse access-punkter og ReadyNAS-enheder.
Flere af sårbarhederne er af typen cross-site scripting. Andre gør det muligt at indsætte kommandoer eller sætte et system ud af drift.
Flere sårbarheder i styresystemerne IOS og IOS XE fra Cisco lader angribere overtage kontrollen med de systemer, der anvender dem. Andre sårbarheder giver mulighed for at sætte systemet ud af drift.
Blandt sårbarhederne er en fejl i et REST-API, der gør det muligt at omgå autentifikationssystemet og få adgang til web-administrationsgrænsefladen.
Cisco har udsendt opdateringer, der lukker sikkerhedshullerne.
