sårbarheder

LG lukker sikkerhedshul i Internet of Things-app

Dansk

Sikkerhedsfirmaet Check Point har opdaget et alvorligt sikkerhedshul i appen SmartThinkQ fra LG. Appen bruges til at styre LG-enheder såsom robotstøvsugere, køleskabe, ovne, opvaskemaskiner og vaskemaskiner.

Sårbarheden gjorde det muligt for hackere at logge ind i cloud-delen af applikationen og overtage kontrollen med brugerens konto. Derefter kunne de kontrollere de enheder, brugeren havde tilføjet til sin konto.

LG lukkede sikkerhedshullet i slutningen af september.

Sårbarhed i MQX rammer indlejrede systemer

Dansk

MQX RTOS er et realtidsoperativsystem, der bruges i NXP Semiconductors' ColdFire-mikrocontrollere, Kinetis-mikrocontrollere, i.MX-processorer og Vybrid-processorer. Sikkerhedsforskere har fundet to sårbarheder, hvoraf den ene kan udnyttes til at afvikle skadelig programkode.

De berørte enheder bruges typisk i industrikontrolsystemer og Internet of Things-enheder (IoT).

Den alvorligste sårbarhed findes i version 5 og tidligere. En mindre alvorlig sårbarhed er i version 4.1 og tidligere.

Ældre krypteringssoftware er sårbar

Dansk

Sikkerhedsforskere har opdaget en sårbarhed i en generator til tilfældige tal. Algoritmen bag generatoren indgik tidligere i FIPS (Federal Information Processing Standards), et sæt it-standarder for offentlige myndigheder i USA.

Sårbarheden findes i ANSI X9.31 Random Number Generator (RNG). Den gør det muligt at knække krypteringen.

Algoritmen var tidligere udbredt i systemer til VPN (virtuelt privat netværk). Blandt de berørte produkter er FortiOS fra Fortinet. Firmaet lukkede hullet for et år siden. Kun FortiOS før version 5 er berørt.

Google lukker 35 sikkerhedshuller i Chrome

Dansk

Ingen af de 35 sårbarheder, som Google har rettet med version 62 af Chrome, har fået firmaets højeste risikovurdering. Otte har fået den næsthøjeste.

Den alvorligste sårbarhed findes i behandlingen af MHTML, den næstalvorligste i Skia.

Endvidere indfører Google med denne udgave af browseren øgede advarsler, når man besøger websteder uden kryptering. Hvis brugeren indtaster data, vises siden som "Ikke sikker". Bruger man inkognito-funktionen, vises sidens om "Ikke sikker", uanset om man indtaster data.

Lenovo lukker fire huller i Android-software

Dansk

Lenovo Service Framework er en Android-applikation, der bruges af en række apps på enheder fra Lenovo. Applikationen formidler beskeder fra Lenovo-servere til apps.

Sikkerhedsforsker Imre Rad har fundet fire sikkerhedshuller i Lenovo Service Framework. De giver angribere mulighed for at afvikle skadelige programmer på enheden.

Lenovo har udsendt opdateringer til alle firmaets tablet-computere, samt til VIBE- og ZUK-smartphones og Moto M (XT1663) og Moto E3 (XT1706).

Fejlene er rettet i Lenovo Service Framework v4.8.0.2403.

Oracle lukker 252 sikkerhedshuller

Dansk

Årets sidste kvartalsvise sikkerhedsopdatering fra Oracle lukker 252 sikkerhedshuller. 155 af dem findes i Oracle Applications.

De alvorligste findes i Oracle Hospitality Reporting and Analytics, hvor to sårbarheder har fået en CVSS-score (Common Vulnerability Scoring System) på de maksimale 10. Samme score har en sårbarhed i Siebel Apps – Field Service fået.

Opdateringen lukker 22 sikkerhedshuller i Java SE. 20 af dem kan udnyttes over netværk af en angriber uden autentifikation. Den alvorligste har en CVSS-score på 9,6.

Hostapd og wpa_supplicant fjerner KRACK-sårbarhed

Dansk

Udviklerne af hostapd og wpa_supplicant har udsendt patches, der lukker sikkerhedshullet KRACK (Key Reinstallation Attacks).

Hostapd er et program til trådløse adgangspunkter, mens wpa_supplicant kører på klienter, der skal forbinde sig til et adgangspunkt.

De udsendte patches er alle dateret den 2. oktober. De vil senere blive indbygget i version 2.7, når den er klar.

Arch Linux og Ubuntu har udsendt opdateringer med rettede versioner af hostapd og wpa_supplicant.

Anbefaling

Installer patches til hostapd og wpa_supplicant.

Adobe lukker hul i Flash, som angribere udnytter

Dansk

Sikkerhedsforskere fra Kaspersky opdagede i sidste uge et angreb, der udnyttede en hidtil ukendt sårbarhed i Adobe Flash Player. De alarmerede Adobe, der nu har udsendt en sikkerhedsopdatering.

Opdateringen lukker kun det ene hul. Det har fået Adobes højeste risikovurdering, idet angribere kan udnytte det til at afvikle skadelig programkode.

Angrebet kom fra en gruppe, som Kaspersky kalder BlackOasis. Den har udnyttet huller i Flash Player siden maj 2016.

Fejlen er rettet i Flash version 27.0.0.159.

Apple er på vej med rettelser til KRACK

Dansk

Apple-analytiker Rene Ritchie skriver, at Apple har lukket sikkerhedshullet KRACK (Key Reinstallation Attacks) i kommende versioner af iOS, watchOS, tvOS og macOS.

Rettelserne findes i betaversioner, som softwareudviklere har adgang til. De vil senere blive udsendt generelt.

IOS er ikke så sårbar over for KRACK på grund af den måde, WPA2 er implementeret på.

Anbefaling

Afvent opdateringerne fra Apple.

Chipsæt fra Infineon har sårbar kryptering

Dansk

Microsoft udsendte i forbindelse med oktober måneds sikkerhedsopdateringer rettelser, der skulle mindske risikoen for at blive berørt af en sårbarhed i TPM (Trusted Platform Module). Sikkerhedsforskere har nu oplyst, at den pågældende sårbarhed findes i krypteringsfunktioner i TPM-chipsæt fra Infineon.

Sårbarheden lader en angriber beregne den private nøgle, der hører til en offentlig nøgle.

Selvom man anvender nøgler med 1.024 eller 2.048 bitlængde, er de sårbare.

Nærmere detaljer vil blive offentliggjort om et par uger.

Sider

Abonnér på RSS - sårbarheder