Af Torben B. Sørensen, 20/04/17
Ingen af sårbarhederne har fået firmaets højeste risikovurdering. Mindst tre har fået den næsthøjeste.
En af dem affødte en dusør på 3.000 dollars til sikkerhedsforskeren, der opdagede den. Sårbarheden ligger i PDFium.
Derudover er der et par sårbarheder i Omnibox og Blink.
Fejlene er rettet i Chrome 58.0.3029.81 til Windows, Macintosh og Linux.
Genstart Chrome for at aktivere opdateringen.
Af Torben B. Sørensen, 20/04/17
Otte af sårbarhederne regnes for kritiske. 20 har fået den næsthøjeste risikovurdering, syv er moderate og fire udgør kun en lille risiko.
25 af sårbarhederne findes også i tidligere versioner af Firefox. De er rettet med Firefox ESR 45.9.
33 sårbarheder er rettet med Firefox ESR 52.1 for brugere, der ikke ønsker at opdatere til version 53.
Genstart Firefox for at opdatere til en rettet version.
Af Torben B. Sørensen, 20/04/17
Sårbarheden lader en angriber omgå adgangskontrollen. Drupal betegner sårbarheden som kritisk.
Fejlen findes ikke i Drupal 7, men kun i Drupal 8. Fejlen er rettet med Drupal 8.3.1.
Brugere, der stadig anvender 8.2.7 eller tidligere versioner, kan opdatere til 8.2.8. Normalt udsender Drupal ikke opdateringer til ældre versioner, men på grund af denne sårbarheds høje risiko har udviklerne gjort det denne gang.
Opdater til Drupal 8.3.1 eller 8.2.8.
Af Torben B. Sørensen, 19/04/17
Et bufferoverløb i Unified Access Gateway og Horizon View lader angribere afvikle programkode på sikkerhedsgatewayen.
Seks sårbarheder i Cortado ThinPrint rammer Workstation og Horizon View Client. Også her kan angribere afvikle programkode. Sårbarhederne ligger i behandlingen af JPEG2000 og TrueType-fonte i TPView.dll.
Fejlene er rettet i disse versioner:
Af Torben B. Sørensen, 19/04/17
MySQL tegner sig for 13 procent af rettelserne i april kvartals sikkerhedsrettelser fra Oracle. 11 af de 39 sårbarheder i MySQL kan udnyttes over nettet, uden at angriberen har en konto på systemet.
37 procent af rettelserne er til Oracles brancheløsninger og til Fusion Middleware. De fleste af dem kan udnyttes over netværk uden en brugerkonto.
25 af rettelserne lukker huller relateret til en kendt sårbarhed i Apache Struts.
Der er otte rettelser til Java SE, hvoraf de syv kan udnyttes over netværk uden en brugerkonto. Fejlene er rettet i Java 8 Update 131.
Af Torben B. Sørensen, 19/04/17
Sikkerhedshullet findes i vCenter Server 6.0 og 6.5, mens version 5.5 ikke er ramt.
Sårbarheden er af den type, som sikkerhedsforsker Markus Wulftange advarede om før påske. Han har fundet tre sårbarheder i deserialization-koden for objekter af typen Action Message Format version 3 (AMF3).
VCenter anvender programmet BlazeDS til at behandle AMF3-objekter. Det er et af de sårbare programmer, Markus Wulftange har identificeret.
Fejlen ligger i vCenters funktion Customer Experience Improvement Program. Systemet er også sårbart, selvom man ikke bruger funktionen.
Af Torben B. Sørensen, 18/04/17
Rettelserne blev udsendt i sidste uge. De lukker:
Angribere kan udnytte de alvorligste sårbarheder til at overtage kontrollen med det sårbare system.
Af Torben B. Sørensen, 18/04/17
For første gang siden 1998 blev sikkerhedsrettelserne ikke offentliggjort i sikkerhedsbulletiner. I stedet fortæller Microsoft om rettelserne via portalen Security Update Guide.
Ifølge sårbarhedsfirmaet Qualys er den vigtigste rettelse til Office og WordPad. Sårbarheden CVE-2017-0199 giver en angriber mulighed for at køre programkode, hvis offeret kan narres til at åbne en fil. Angribere var begyndt at udnytte sårbarheden, før Microsoft lukkede hullet.
Af Torben B. Sørensen, 07/04/17
Sårbarheden ligger i deserialization-funktionerne, der omdanner en strøm af bytes til et objekt. Flere programmer har tidligere haft sårbarheder i behandlingen af deserialization.
En sikkerhedsforsker har fundet tre sårbarheder i Java-implementeringer af koden, der udfører deserialization på objekter af typen Action Message Format. Det er et format, Adobe anvender i Flash Player.
Blandt de sårbare produkter er Adobe Flex BlazeDS, som Adobe ikke længere vedligeholder. Brugere anbefales at bruge den open source-version, som Apache vedligeholder.
Af Torben B. Sørensen, 07/04/17
Adobe oplyser, at firmaet lukker sikkerhedshuller i Acrobat og Reader tirsdag den 11. april.
Microsoft har ikke oplyst, hvilke rettelser firmaet planlægger. Men tirsdag er den anden tirsdag i måneden, hvor Microsoft normalt udsender sine månedlige rettelser.
Rettelserne kommer som regel efter kl. 19 dansk tid.
Vær forberedt på sikkerhedsrettelserne i påskeferien.
