sårbarheder

Sårbarhederne gør det muligt at afvikle skadelig programkode. Det kan kun lade sig gøre, hvis programmets Safe Reading Mode er slået fra. Det er som standard slået til, hvorfor Foxit Software ikke mente, det var nødvendigt at ændre på programmet.

Efter sikkerhedsforskere offentliggjorde sårbarhederne, har firmaet skiftet mening. Det regner med at have en rettet version af Foxit Reader og PhantomPDF klar på fredag.

Thunderbird version 52.3 lukker 16 sikkerhedshuller. Tre af dem har fået Mozillas højeste risikovurdering.

En af de alvorlige sårbarheder findes i WebSockets, en anden i behandlingen af Marquee-elementer, mens den tredje er diverse fejl i styringen af arbejdslageret.

Ti sårbarheder har fået den næsthøjeste risikovurdering.

Anbefaling

Genstart Thunderbird for at aktivere opdateringen.

Links

• Security vulnerabilities fixed in Thunderbird 52.3

Sikkerhedsforskere har fundet to sårbarheder i Foxit Reader. Den ene sårbarhed lader angribere afvikle kommandoer, den anden gør det muligt at køre skadelig programkode.

Fejlene ligger i behandlingen af JavaScript i PDF-filer.

Foxit oplyser, at programmet beskytter mod uautoriseret brug af JavaScript, hvis brugeren anvender Safe Reading Mode. Det er slået til som standard.

Sårbarheden i Unity Editor giver angribere mulighed for at afvikle skadelig programkode. Virksomheden har endnu ikke offentliggjort nærmere detaljer.

Sårbarheden findes i Windows-versionen. Unity har udsendt nye versioner af både Windows- og Mac-versionen af hensyn til udviklingsafdelinger, der bruger begge platforme.

De rettede versioner er 5.3.8p2, 5.4.5p5, 5.5.4p3, 5.6.3p1 og 2017.1.0p4.

Hvis man ikke kan opdatere, kan man i stedet køre et værktøj, der forhindrer udnyttelsen af sårbarheden uden at fjerne den.

Den alvorlige sårbarhed giver angribere mulighed for at se, rette eller slette indhold på webstedet. Det gælder kun for enheder, der ikke har UUID'er.

Den og de to øvrige sårbarheder findes kun i Drupal 8 Core. Drupal 7 Core er ikke berørt, men det er Drupal 7 Views.

Fejlene i Drupal 8 er rettet med version 8.3.7.

Fejlen i Drupal 7 Views er rettet med Views 7.x-3.17.

Anbefaling

Opdater til en rettet version.

Symantec Messaging Gateway har to sårbarheder. Den ene lader angribere afvikle programkode, den anden er af typen cross-site request forgery (CSRF). Den giver en angriber mulighed for at afvikle kommandoer ved at narre en bruger til at gå ind på en webside.

Fejlene er rettet i version 10.6.3-267.

Symantec kender ikke til eksempler på, at sårbarhederne har været udnyttet til angreb.

Anbefaling

Opdater til Symantec Messaging Gateway 10.6.3-267.

Den alvorligste sårbarhed giver brugere mulighed for at logge ind med et tomt password.

En anden sårbarhed giver mulighed for, at passwords lækkes til uautoriserede brugere. Udviklerne har tidligere forsøgt at lukke sikkerhedshullet, men rettelsen var ikke fuldstændig effektiv.

Den sidste sårbarhed giver enhver bruger mulighed for at ændre på data i et stort objekt. Det skyldes, at brugerens privilegier ikke bliver kontrolleret.

Tre udbredte systemer til versionsstyring er ramt af en sårbarhed, der ligger i behandlingen af URL'er, som begynder med "ssh:". Sårbarheden gør det muligt at afvikle en kommando på serveren, der kører Gitlab, Subversion eller Mercurial.

Fejlen er rettet i Gitlab .4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13 og 8.17.8. Der er rettelser til både GitLab Community Edition (CE) og Enterprise Edition (EE). Endvidere er Git rettet med versionerne 2.14.1, 2.7.6, 2.8.6, 2.9.5, 2.10.4, 2.11.3, 2.12.4 og 2.13.5.

Mercurial 4.3 lukker ligeledes hullet.

Fem af de 29 sårbarheder har fået Mozillas højeste risikovurdering. Flere af dem gør det muligt at afvikle skadelig programkode.

Standardindstillingen for indhold baseret på Adobe Flash Player er ændret, så brugeren nu skal klikke ok for at se det. Endvidere er Flash-indhold kun tilladt på URL'er, der begynder med http eller https.

Samtidig med version 55 har Mozilla udsendt Firefox ESR 52.3, der lukker 17 sikkerhedshuller.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

Som vanligt er rettelserne opdelt i generelle rettelser, der fjerner sårbarheder i hele Android, og produktspecifikke, der kun gælder for enheder med bestemt hardware.

Denne måneds opdateringer omfatter 28 generelle rettelser, hvoraf de 10 er kritiske.

Der er 14 produktspecifikke sikkerhedsopdateringer, ingen af dem kritiske.

De alvorlige sårbarheder ligger alle i Media framework. Hvis en angriber kan narre offeret til at åbne en fil, kan der afvikles skadelig programkode på enheden.