sårbarheder

Microsoft lukker 81 sikkerhedshuller

September måneds sikkerhedsrettelser fra Microsoft lukker 81 sikkerhedshuller, hvoraf 27 har fået firmaets højeste risikovurdering.

38 af sårbarhederne findes i Windows.

Angribere udnytter aktivt en sårbarhed i .Net Framework. Det kræver blot, at offeret kan lokkes til at åbne et skadeligt dokument eller program. Ifølge sikkerhedsfirmaet FireEye bruges den til at sprede spionprogrammet Finspy. Sårbarheden er blandt dem, Microsoft nu har fjernet.

Anbefaling

Slå automatisk opdatering til. Installer opdateringerne automatisk eller manuelt.

Dansk

Adobe lukker huller i Flash, ColdFusion og RoboHelp

En opdatering til Adobe Flash Player lukker to kritiske sikkerhedshuller. Angribere kan udnytte dem til at afvikle skadelig programkode.

Fejlene er rettet i Flash Player version 27.0.0.130.

Opdateringer til ColdFusion fjerner tre kritiske sårbarheder og en mindre alvorlig.

Fejlene er rettet med Update 5 til 2016-versionen og Update 13 til ColdFusion 11.

En opdatering til RoboHelp lukker et vigtigt og et mindre alvorligt sikkerhedshul.

Fejlene er rettet med RH2017.0.2 eller RH12.0.4.460 (Hotfix).

Dansk

10 sikkerhedshuller i D-Link-router står åbne

Sikkerhedsforsker Pierre Kim har fundet sårbarhederne og offentliggjort dem, uden at D-Link først er blevet orienteret. Derfor findes der endnu ingen rettelser til dem.

Der findes to versioner af DIR-850L. Fire af sårbarhederne findes i dem begge.

En sårbarhed giver angribere mulighed for at narre offeret til at installere en ændret version af firmwaren til routeren.

Der er flere sårbarheder af typen cross-site scripting i den indbyggede webserver.

Dansk

Sikkerhedshul i Edge står åbent

Sikkerhedsforsker Nicolai Grødum fra Cisco har opdaget en sårbarhed i flere browseres implementering af CSP (Content Security Policy). Formålet med CSP er at sikre, at scripts kun må afvikles fra godkendte kilder.

Sårbarheden gør, at det i nogle tilfælde er muligt at omgå CSP-reglerne. Dermed kan angribere få adgang til fortrolig information.

Google lukkede sikkerhedshullet med version 57.0.2987.98 af Chrome.

Apple lukkede det med iOS 10.3 og Safari 10.1.

Dansk

Google lukker 13 alvorlige huller i Android

September måneds sikkerhedsrettelser til Android fjerner 81 sårbarheder. Som vanligt er de opdelt i generelle sårbarheder og sårbarheder, der findes i specifikke hardware- og softwarekombinationer.

Der er 30 generelle sårbarheder, hvoraf 10 er kritiske. De findes alle i Media Framework, der også tidligere har haft alvorlige sårbarheder.

De 51 hardwarespecifikke sårbarheder omfatter tre kritiske.

Anbefaling

Afvent opdateringer fra producenterne af Android-enheder.

Dansk

Apache Struts lukker alvorligt sikkerhedshul

Udviklerne af Apache Struts har lukket tre sikkerhedshuller. Et af dem er kritisk, idet angribere kan udnytte REST-pluginnet til at afvikle skadelig programkode.

Flere angrebsprogrammer, der udnytter sårbarheden, er lagt ud på nettet.

Sårbarheden ligger i deserialization i Java.

En række store virksomheder anvender Struts og er dermed mulige angrebsmål.

Fejlene er rettet i Apache Struts 2.5.13.

Anbefaling

Opdater til Apache Struts 2.5.13.

Dansk

Bootloadere er sårbare

Når man tænder for en smartphone, kører den et såkaldt bootloader-program. Det har til formål at indlæse styresystemet. Et hold sikkerhedsforskere har undersøgt sikkerheden i fem bootloadere fra fire producenter.

Forskerne fandt frem til seks hidtil ukendte sårbarheder. Nogle af dem giver en angriber mulighed for afvikle kode, andre kan sætte enheden permanent ud af drift.

Til analysen udviklerede forskerne værktøjet BootStomp. Foruden de seks hidtil ukendte sårbarheder fandt værktøjet også en kendt sårbarhed. Det ser forskerne som et tegn på, at værktøjet fungerer.

Dansk

National Instruments lukker hul i Labview

Sikkerhedsforskere fra Cisco Talos har opdaget en sårbarhed i programmet Labview fra National Instruments. Labview anvendes til dataopsamling, instrumentkontrol og i industrikontrolsystemer.

Programmet bruger et filformat ved navn VI. Forskerne opdagede en sårbarhed, der kan få programmet til at gå ned og muligvis føre til afvikling af programkode.

Dansk

Asterisk lukker tre sikkerhedshuller

Den kritiske sårbarhed i Asterisk giver angribere mulighed for at overtage sessioner. Sårbarheden ligger i behandlingen af RTP (Realtime Transport Protocol).

Fejlen er rettet i Asterisk Open Source 11.25.2, 13.17.1 og 14.6.1, og i Certified Asterisk 11.6-cert17 og 13.13-cert5.

Endvidere er der fundet to mindre alvorlige sårbarheder. Den ene giver autoriserede brugere mulighed for at afvikle kommandoer, den anden kan sætte Asterisk-systemet ud af drift.

Anbefaling

Opdater til en rettet version.

Dansk

Sider

Abonnér på RSS - sårbarheder