En sårbarhed i et virtuelt grafikkort giver applikationer i en virtuel maskine mulighed for at afvikle kode på den fysiske maskine, den kører på. Sårbarheden ligger i SVGA-enheden.
Fejlen findes i ESXi 6.5, Workstation 12.x og Fusion 8.x. Den er rettet i Workstation 12.5.7, Fusion 8.5.8 og med patchen ESXi650-201707101-SG til ESXi.
Ved samme lejlighed har VMware også rettet et par mindre alvorlige fejl i de samme produkter samt i vCenter Server 6.5.
Anbefaling
Opdater til en rettet version af de berørte produkter.
Den alvorligste sårbarhed i Magentos seneste sikkerhedsrettelser har fået en CVSS-score (Common Vulnerability Scoring System) på 8,2 ud af 10. Dermed regnes den for alvorlig.
En autentificeret administrator med begrænsede privilegier kan udnytte sårbarheden til at afvikle skadelig programkode.
Derudover lukker Magento tre sikkerhedshuller med risikovurderingen høj og 28 med mellemstor risiko. Endelig er der to lavrisikosårbarheder.
Fejlene er rettet i Magento Commerce og Open Source 2.1.9 og 2.0.16.
September måneds sikkerhedsrettelser fra SAP består af 23 SAP Security Patch Day Notes og 10 Support Package Notes. Tre af dem har fået SAP's næsthøjeste risikovurdering, mens ingen har den højeste.
Den alvorligste sårbarhed har fået en CVSS-score (Common Vulnerability Scoring System) på 8,1.
Sårbarheder af typen cross-site scripting var de mest udbredte. Manglende tjek af autorisationer var på en andenplads.
Anbefaling
Opdater til en rettet version af de berørte applikationer.
Sikkerhedsfirmaet Armis Labs har opdaget otte sårbarheder i implementeringer af Bluetooth-protokollen. De findes i Linux, Android, Windows, iOS og tvOS.
Producenterne har offentliggjort opdateringer, der lukker hullerne.
Angribere kan udnytte sårbarhederne til at afvikle skadelige programmer på enhederne eller udføre man-in-the-middle-angreb. Det kræver kun, at Bluetooth er aktiveret på enheden.
Angribere skal være fysisk i nærheden af enheden for at kunne udnytte sårbarhederne.
September måneds sikkerhedsrettelser fra Microsoft lukker 81 sikkerhedshuller, hvoraf 27 har fået firmaets højeste risikovurdering.
38 af sårbarhederne findes i Windows.
Angribere udnytter aktivt en sårbarhed i .Net Framework. Det kræver blot, at offeret kan lokkes til at åbne et skadeligt dokument eller program. Ifølge sikkerhedsfirmaet FireEye bruges den til at sprede spionprogrammet Finspy. Sårbarheden er blandt dem, Microsoft nu har fjernet.
Anbefaling
Slå automatisk opdatering til. Installer opdateringerne automatisk eller manuelt.
Sikkerhedsforsker Pierre Kim har fundet sårbarhederne og offentliggjort dem, uden at D-Link først er blevet orienteret. Derfor findes der endnu ingen rettelser til dem.
Der findes to versioner af DIR-850L. Fire af sårbarhederne findes i dem begge.
En sårbarhed giver angribere mulighed for at narre offeret til at installere en ændret version af firmwaren til routeren.
Der er flere sårbarheder af typen cross-site scripting i den indbyggede webserver.
Sikkerhedsforsker Nicolai Grødum fra Cisco har opdaget en sårbarhed i flere browseres implementering af CSP (Content Security Policy). Formålet med CSP er at sikre, at scripts kun må afvikles fra godkendte kilder.
Sårbarheden gør, at det i nogle tilfælde er muligt at omgå CSP-reglerne. Dermed kan angribere få adgang til fortrolig information.
Google lukkede sikkerhedshullet med version 57.0.2987.98 af Chrome.
September måneds sikkerhedsrettelser til Android fjerner 81 sårbarheder. Som vanligt er de opdelt i generelle sårbarheder og sårbarheder, der findes i specifikke hardware- og softwarekombinationer.
Der er 30 generelle sårbarheder, hvoraf 10 er kritiske. De findes alle i Media Framework, der også tidligere har haft alvorlige sårbarheder.
De 51 hardwarespecifikke sårbarheder omfatter tre kritiske.
Anbefaling
Afvent opdateringer fra producenterne af Android-enheder.
Udviklerne af Apache Struts har lukket tre sikkerhedshuller. Et af dem er kritisk, idet angribere kan udnytte REST-pluginnet til at afvikle skadelig programkode.
Flere angrebsprogrammer, der udnytter sårbarheden, er lagt ud på nettet.
Sårbarheden ligger i deserialization i Java.
En række store virksomheder anvender Struts og er dermed mulige angrebsmål.
