Af Torben B. Sørensen, 07/09/17
Chrome version 61 fjerner 22 sårbarheder. Ingen af dem har fået Googles alvorligste risikovurdering, men seks har fået den næsthøjeste.
Blandt dem er to sårbarheder i PDFium og to i V8.
Fejlene er rettet i Chrome 61 til Windows, Macintosh og Linux.
Genstart Chrome for at aktivere opdateringen.
Af Torben B. Sørensen, 04/09/17
Når man tænder for en smartphone, kører den et såkaldt bootloader-program. Det har til formål at indlæse styresystemet. Et hold sikkerhedsforskere har undersøgt sikkerheden i fem bootloadere fra fire producenter.
Forskerne fandt frem til seks hidtil ukendte sårbarheder. Nogle af dem giver en angriber mulighed for afvikle kode, andre kan sætte enheden permanent ud af drift.
Til analysen udviklerede forskerne værktøjet BootStomp. Foruden de seks hidtil ukendte sårbarheder fandt værktøjet også en kendt sårbarhed. Det ser forskerne som et tegn på, at værktøjet fungerer.
Af Torben B. Sørensen, 04/09/17
Sikkerhedsforskere fra Cisco Talos har opdaget en sårbarhed i programmet Labview fra National Instruments. Labview anvendes til dataopsamling, instrumentkontrol og i industrikontrolsystemer.
Programmet bruger et filformat ved navn VI. Forskerne opdagede en sårbarhed, der kan få programmet til at gå ned og muligvis føre til afvikling af programkode.
Af Torben B. Sørensen, 01/09/17
Den kritiske sårbarhed i Asterisk giver angribere mulighed for at overtage sessioner. Sårbarheden ligger i behandlingen af RTP (Realtime Transport Protocol).
Fejlen er rettet i Asterisk Open Source 11.25.2, 13.17.1 og 14.6.1, og i Certified Asterisk 11.6-cert17 og 13.13-cert5.
Endvidere er der fundet to mindre alvorlige sårbarheder. Den ene giver autoriserede brugere mulighed for at afvikle kommandoer, den anden kan sætte Asterisk-systemet ud af drift.
Opdater til en rettet version.
Af Torben B. Sørensen, 31/08/17
Flere applikationer anvender grafikbiblioteket Gdk-Pixbuf til at håndtere grafikfiler. Sikkerhedsfirmaet Cisco Talos har opdaget to sårbarheder.
Hvis en angriber kan få offeret til at åbne en fil, der er udformet på en særlig måde, kan sårbarhederne medføre, at skadelig programkode bliver afviklet.
Chromium, Firefox, GNOME Thumbnailer, VLC og flere andre applikationer bruger Gdk-Pixbuf.
Af Torben B. Sørensen, 30/08/17
Sårbarhederne blev kendt for et år siden, da et sikkerhedsfirma offentliggjorde en rapport om dem. St. Jude Medical, der nu er ejet af Abbott Laboratories, har nu lukket sikkerhedshullerne med ny firmware.
En af sårbarhederne gør det muligt for en angriber, der er fysisk tæt på pacemakeren, at sende uautoriserede kommandoer til den via radiobølger.
Firmaet anbefaler patienter at få installeret den opdaterede firmware, næste gang de alligevel er hos deres læge eller på sygehuset.
Af Torben B. Sørensen, 30/08/17
Problemerne opstod, når dokumenter brugte XFA-formularer (XML Forms Architecture). Adobe udsendte første nogle hotfixes til berørte kunder. De løste problemet, men gjorde, at en af sårbarhederne ikke blev rettet.
Adobe har nu udsendt opdateringer, der lukker alle de oprindelige sikkerhedshuller uden at give problemer med XFA-formularer.
Opdater til den nyeste version, hvis I har oplevet problemer med XFA-formularer.
Af Torben B. Sørensen, 25/08/17
Sårbarhederne findes i HPE Integrated Lights-out (ILO 4). De giver en udefrakommende angriber mulighed for at omgå adgangskontrollen og udføre skadelig programkode.
HP har givet sårbarhederne en CVSS-score (Common Vulnerability Scoring System) på 9,8 ud af 10.
HP har lukket hullet med firmware version 2.53.
Opdater firmwaren.
Af Torben B. Sørensen, 24/08/17
Sikkerhedsforsker James Kettle fra Portswigger Web Security har fundet en række websteder med sikkerhedsproblemer. Sårbarhederne ligger i den måde, de bruger reverse proxy-servere eller load balancere på.
En reverse proxy tager imod forespørgsler fra en web-browser og sender dem videre til en bagvedliggende webserver. Svar fra serveren sendes retur til browseren.
Af Torben B. Sørensen, 23/08/17
SGX er processorinstruktioner, der gør det muligt at begrænse adgangen til bestemte dele af arbejdslageret for processer med et bestemt privilegium. Teknologien er indbygget i Intels serversystemer og i klienterne NUC (Next Unit of Computing) og Compute Stick.
Sårbarheden giver udefrakommende angribere mulighed for at skrive data i filsystemet. Den har fået en CVSS-score (Common Vulnerability Scoring System) på 9,3 ud af 10.
Intel har udsendt firmwareopdateringer, der lukker hullet.
