sårbarheder

Apple er på vej med rettelser til KRACK

Apple-analytiker Rene Ritchie skriver, at Apple har lukket sikkerhedshullet KRACK (Key Reinstallation Attacks) i kommende versioner af iOS, watchOS, tvOS og macOS.

Rettelserne findes i betaversioner, som softwareudviklere har adgang til. De vil senere blive udsendt generelt.

IOS er ikke så sårbar over for KRACK på grund af den måde, WPA2 er implementeret på.

Anbefaling

Afvent opdateringerne fra Apple.

Dansk

Chipsæt fra Infineon har sårbar kryptering

Microsoft udsendte i forbindelse med oktober måneds sikkerhedsopdateringer rettelser, der skulle mindske risikoen for at blive berørt af en sårbarhed i TPM (Trusted Platform Module). Sikkerhedsforskere har nu oplyst, at den pågældende sårbarhed findes i krypteringsfunktioner i TPM-chipsæt fra Infineon.

Sårbarheden lader en angriber beregne den private nøgle, der hører til en offentlig nøgle.

Selvom man anvender nøgler med 1.024 eller 2.048 bitlængde, er de sårbare.

Nærmere detaljer vil blive offentliggjort om et par uger.

Dansk

Kryptering af trådløse netværk har alvorligt sikkerhedshul

KRACK (Key Reinstallation Attacks) er en sårbarhed, der giver angribere mulighed for at aflytte data fra trådløse netværk, selvom de er krypterede.

Sårbarheden findes i WPA2-standarden (Wi-Fi Protected Access), som stort set alle trådløse netværksenheder understøtter. Fejlen ligger i udvekslingen af data, når en trådløs enhed forbinder sig til et adgangspunkt. Det sker i et såkaldt 4-way handshake.

Dansk

Mozilla lukker ni huller i Thunderbird

Version 52.4 af mail-programmet Thunderbird lukker ni sikkerhedshuller. Kun et af dem har fået Mozillas højeste risikovurdering. Det består af en samling fejl i håndteringen af arbejdslageret.

Fem af de øvrige sårbarheder har fået den næsthøjeste risikovurdering.

Anbefaling

Genstart Thunderbird for at aktivere opdateringen.

Dansk

Word kan afvikle kode uden brug af makroer

I stedet for makroer kan angribere anvende DDE (Dynamic Data Exchange) til at afvikle programkode i Microsoft Word. Det har sikkerhedsforskere fra Sensepost opdaget.

Metoden går ud på at oprette et Word-dokument med et indlejret felt. I koden til feltet skriver angriberen den kommando, der skal afvikles.

Hvis et potentielt offer forsøger at åbne Word-dokumentet, afføder det to advarsler. Den første siger, at dokumentet har links til data, der kan komme fra andre filer.

Den anden advarsel beder brugeren bekræfte, at vedkommende ønsker at køre kommandoen.

Dansk

Outlook 2016 sendte krypterede e-mails uden kryptering

En af oktober måneds sikkerhedsrettelser fra Microsoft lukker et hul i Outlook 2016. Sårbarheden medfører, at mails der skulle have været krypteret er blevet sendt uden kryptering.

Fejlen findes kun ved mails, der sendes uden formatering. Mails med HTML-formatering er ikke berørt.

Sårbarheden medfører, at mails der er sat til at blive krypteret med S/MIME, ganske vist bliver krypteret. Men sammen med den krypterede mail sender Outlook også en ukrypteret version.

Dansk

SAP lukker 30 sikkerhedshuller

Oktober måneds sikkerhedsrettelser fra SAP lukker 30 sikkerhedshuller. Ingen af dem har fået firmaets højeste risikovurdering, fem har fået den næsthøjeste.

Den alvorligste sårbarhed findes i SAP NetWeaver AS Java Web Container, den har fået en CVSS-score (Common Vulnerability Scoring System) på 7,7.

De øvrige sårbarheder findes i blandt andet SAP Standalone Enqueue Server, SAP Mobile Platform, SAP ERP Funds Management Account Assignments og Adobe Document Services.

Anbefaling

Test og installer sikkerhedsopdateringerne fra SAP.

Dansk
Keywords: 

To alvorlige huller i Simple DirectMedia Layer er lukket

Sikkerhedsforskere fra Cisco Talos har fundet to kritiske sårbarheder i Simple DirectMedia Layer (SDL), et udviklingsbibliotek der virker på tværs af platforme. SDL bruges typisk til at udvikle programmer til videoafspilning, emulatorer og spil.

Den ene sårbarhed ligger i behandlingen af XCF-filer, der er standardformatet i programmet GIMP. Den anden ligger i oprettelsen af RGB-lag.

Angribere kan udnytte begge sårbarheder til at afvikle skadelig programkode.

Dansk

Microsoft lukker 63 sikkerhedshuller

Oktober måneds sikkerhedsrettelser fra Microsoft lukker 63 sikkerhedshuller i produkterne Internet Explorer, Edge, Windows, Office, Skype og ChakraCore.

Sårbarhedsfirmaet Qualys fremhæver sårbarheden CVE-2017-11826 i Office som en af de alvorligste. Hvis en angriber kan narre sit offer til at åbne et Office-dokument, kan der afvikles skadelig programkode. Angribere udnytter metoden til aktive angreb.

Den sårbarhed har Microsoft givet firmaets næsthøjeste risikovurdering. Den højeste vurdering er givet til 28 af sårbarhederne.

Dansk

HP Enterprise lukker alvorlige huller i Intelligent Management Center

Hewlett Packard Enterprise har lukket otte sikkerhedshuller i HPE Intelligent Management Center (iMC) PLAT. Syv af dem er rapporteret via Zero Day Initiative.

De alvorligste sårbarheder giver angribere mulighed for at afvikle skadelig programkode på computeren.

Fejlene er rettet i IMC PLAT 7.3 E0506P03.

Anbefaling

Opdater til IMC PLAT 7.3 E0506P03.

Dansk

Sider

Abonnér på RSS - sårbarheder