sårbarheder

Sårbarheden ligger i indlæsningen af programmer, der er gemt som Position Independent Executable (PIE). Når programmet indlæses, kan dele af de placeres i hukommelsesområder, der er reserveret til stakken.

Fejlen blev rettet i 2015, men den blev dengang ikke set som et sikkerhedsproblem. Derfor findes den i flere Linux-distributioner, heriblandt CentOS, Red Hat og Debian.

Sårbarheden har en CVSS-score (Common Vulnerability Scoring System) på 7,8.

Anbefaling

Opdater berørte Linux-varianter.

MacOS High Sierra 10.13 lukker 43 sikkerhedshuller i styresystemet. Samtidig har Apple udsendt macOS Server 5.4, der lukker to sikkerhedshuller i FreeRADIUS-modulet.

Endvidere har Apple lukket 22 sikkerhedshuller med iCloud for Windows 7.0.

Anbefaling

Opdater til en rettet version.

Som sædvanlig omfatter sikkerhedsrettelserne en samling rettelser af fejl i håndteringen af arbejdslageret. Den sårbarhed er den eneste, der har fået Mozillas højeste risikovurdering i denne omgang.

Seks af de 18 sårbarheder har fået den næsthøjeste risikovurdering.

Fejlene er rettet i Firefox 56 og, hvor det er relevant, i Firefox ESR 52.4.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

Den 8. september offentliggjorde sikkerhedsforsker Pierre Kim en række sårbarheder i routeren DIR-850L. D-Link har nu udsendt opdateret firmware, der lukker de fleste af hullerne.

Der var i alt 18 sårbarheder. Ifølge Pierre Kim er en af dem ikke rettet. To andre har han ikke tjekket.

Der er to sæt af sikkerhedsrettelser, en til version A af firmware og en til version B.

Anbefaling

Opdater firmware til DIR-850L.

Udviklerne af netværkssoftwaren Samba har udsendt sikkerhedsrettelser, der fjerner tre sårbarheder.

En af sårbarhederne rammer alle versioner af SMB, mens en anden kun gælder for SMB version 3. De kan udnyttes i forbindelse med man-in-the-middle-angreb.

Den sidste sårbarhed findes kun SMB v1. Her kan klienter få adgang til fortrolig information.

Fejlene er rettet med patches. Endvidere kan man opdatere til disse rettede versioner: Samba 4.6.8, 4.5.14 og 4.4.16.

Anbefaling

Opdater Samba.

Fire af de otte sårbarheder har fået en CVSS-score (Common Vulnerability Scoring System) på 8,8 ud af 10. Dermed udgør de en høj risiko. En lokal bruger kan udnytte dem til at få software til at gå ned eller til at opnå øgede privilegier.

De øvrige sårbarheder er mindre alvorlige.

Sårbarhederne findes i drivere til GeForce, NVS, Quadro og Tesla. Nogle af dem berører kun Windows-versionen, andre gælder også for Linux, FreeBSD og Solaris.

Anbefaling

Opdater til en rettet version af driversoftwaren.

I sidste uge lukkede Google tre sikkerhedshuller i Chrome. To af dem har fået firmaets næsthøjeste risikovurdering.

Begge de to sårbarheder ligger i V8. De affødte henholdsvis 7.500 dollars og 3.000 dollars i dusør til de sikkerhedsforskere, der opdagede dem.

Fejlene er rettet i version 61.0.3163.100 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Apache Tomcat 7.0.81 blev udsendt den 16. august. Apache har nu frigivet information om to sårbarheder, der blev fjernet ved den lejlighed.

Den ene gør det muligt at uploade en JSP-fil til serveren. Angriberen kan derefter køre filen og dermed afvikle skadelig programkode på serveren. Sårbarheden kan kun udnyttes på Windows, og kun hvis HTTP PUT er slået til.

Den anden sårbarhed gør det muligt at se kildekoden for JSP-filer.

Apache giver begge sårbarheder den næsthøjeste risikovurdering.

Anbefaling

Opdater til Apache Tomcat 7.0.81.

Den seneste udgave af styresystemet til iPhone, iPad og iPod er iOS 11. Den lukker otte sikkerhedshuller.

Version 11 af browseren Safari lukker tre sikkerhedshuller.

Programmeringsværktøjet Xcode er kommet i version 9, der lukker syv sikkerhedshuller.

Endvidere har Apple udsendt tvOS 11 og watchOS 4, men firmaet har endnu ikke offentliggjort, hvilke sårbarheder de retter.

Den 12. september udsendte Apple iTunes 12.7 til macOS og Windows, men heller ikke dem er der offentliggjort detaljer om endnu.

Anbefaling

Opdater til seneste version.

Den nye version 4.8.2 fra WordPress retter ni sårbarheder. En af dem ligger i funktionen $wpdb->prepare(), der kan danne usikre forespørgsler, som kan føre til SQL-indsætning. Selve WordPress-kernen er ikke ramt af SQL-indsætning, men plugins og temaer der anvender funktionen, kan blive ramt.

Fem af de øvrige sårbarheder er af typen cross-site scripting.

Hvis man har slået automatisk opdatering til, vil ens WordPress automatisk blive opdateret inden for et døgn.

Anbefaling

Slå automatisk opdatering til eller opdater manuelt.