Sikkerhedsforskere fra Northeastern University har undersøgt brugen af tredjepartsbiblioteker på websider. Det drejer sig om JavaScript-programmer, som webudviklere anvender i stedet for selv at skrive programkode.
Analysen bygger på data om 133.000 websteder. 37 procent af dem anvender mindst et sårbart JavaScript-bibliotek.
Ofte bruger webstederne versioner, der er flere år gamle.
Blandt de biblioteker, der oftest optræder i sårbare versioner, er YUI 3, Handlebars, Angular og jQuery.
Sårbarheden giver udefrakommende angribere mulighed for at afvikle skadelig programkode. Flere produkter fra Cisco og VMware anvender Struts på en måde, der gør dem sårbare.
Ingen af sårbarhederne har fået Googles højeste risikovurdering, men mindst ni har fået den næsthøjeste. Sårbarhederne findes blandt andet i V8, PDFium og Libxslt.
Fejlene er rettet i Chrome 57.0.2987.98 til Windows, Mac og Linux.
Sårbarheden gør det muligt at ændre password for administratorbrugeren og logge ind som administrator.
Dahua har foreløbig udsendt opdateret firmware til 11 modeller, der er fundet sårbare. Efterhånden som firmaet fortsætter undersøgelserne, kan flere komme til.
Sikkerhedsforskere har fundet flere alvorlige sikkerhedshuller i softwaren til My Cloud-boksene. Sårbarhederne giver mulighed for at omgå adgangskontrollen, afvikle kommandoer og få fat i data.
Ifølge sikkerhedsfirmaet SEC Consult er mindst følgende versioner af firmware og produkter sårbare:
Som vanligt er rettelserne opdelt i to pakker: En med rettelser til komponenter, der er fælles for mange Android-enheder, og en med rettelser til specifik hardware og software.
De generelle rettelser omfatter 11 kritiske sårbarheder, der findes i OpensSSL, BoringSSL, Mediaserver og recovery verifier.
De produktspecifikke rettelser lukker 24 kritiske huller i komponenter fra blandt andre MediaTek, Nvidia, Broadcom og Qualcomm.
Sikkerhedsorganisationen Talos fra Cisco har set en lang række forsøg på at udnytte sårbarheden. De første var blot forsøg på at undersøge, om et system var sårbart ved at sende en uskadelig kommando.
Men senere angrebsforsøg udnytter sårbarheden til at downloade skadelig software til det sårbare system.
Sårbarheden ligger i Apache Struts-systemer, der bruger Jakarta Multipart parser til at uploade filer med.
Fejlen er rettet i Struts 2.3.32 og Struts 2.5.10.1.
Tre af sårbarhederne er af typen cross-site scripting. En er en cross-site request forgery-sårbarhed (CSRF), mens en anden gør det muligt at snyde omdirigeringsfunktionen via specialtegn.
Endelig gør en sårbarhed det muligt at slette filer, der ikke skulle have været slettet, som led i funktionen til at slette plugins.
Flere af sårbarhederne blev fundet i forbindelse med projektet Summer of Pwnage, der kørte i juli sidste år. De rettede sårbarheder er nu blevet offentliggjort.
Problemet blev opdaget, efter at Google offentliggjorde det første eksempel på en kollision under SHA-1 (Secure Hash Algorithm 1). Kollisionen betyder, at to forskellige PDF-dokumenter danner den samme værdi, når de køres gennem SHA-1-algoritmen. Det burde ikke være muligt.
Udviklerne af WebKit lagde de to dokumenter ind i WebKits kildekodelager, der er baseret på Apache Subversion. Det medførte, at data blev ødelagt.
