Sikkerhedsorganisationen Talos fra Cisco har set en lang række forsøg på at udnytte sårbarheden. De første var blot forsøg på at undersøge, om et system var sårbart ved at sende en uskadelig kommando.
Men senere angrebsforsøg udnytter sårbarheden til at downloade skadelig software til det sårbare system.
Sårbarheden ligger i Apache Struts-systemer, der bruger Jakarta Multipart parser til at uploade filer med.
Fejlen er rettet i Struts 2.3.32 og Struts 2.5.10.1.
Tre af sårbarhederne er af typen cross-site scripting. En er en cross-site request forgery-sårbarhed (CSRF), mens en anden gør det muligt at snyde omdirigeringsfunktionen via specialtegn.
Endelig gør en sårbarhed det muligt at slette filer, der ikke skulle have været slettet, som led i funktionen til at slette plugins.
Flere af sårbarhederne blev fundet i forbindelse med projektet Summer of Pwnage, der kørte i juli sidste år. De rettede sårbarheder er nu blevet offentliggjort.
Problemet blev opdaget, efter at Google offentliggjorde det første eksempel på en kollision under SHA-1 (Secure Hash Algorithm 1). Kollisionen betyder, at to forskellige PDF-dokumenter danner den samme værdi, når de køres gennem SHA-1-algoritmen. Det burde ikke være muligt.
Udviklerne af WebKit lagde de to dokumenter ind i WebKits kildekodelager, der er baseret på Apache Subversion. Det medførte, at data blev ødelagt.
Sikkerhedsforskere fra Palo Alto Networks har identificeret de inficerede apps. De er skrevet af syv udviklere, der alle har forbindelse til Indonesien.
Udviklerne er sandsynligvis ofre for et inficeret udviklingsmiljø. Det ser ikke ud til, at de med vilje har indført den skadelige kode i deres apps.
Koden åbner en skjult iframe, der prøver at hente data fra eksterne URL'er. Nogle af URL'erne er konfiskeret af sikkerhedsfirmaer for flere år siden, fordi de har været brugt til at sprede skadelige programmer.
NextGEN Gallery har en sårbarhed af typen SQL-indsætning. Dermed kan en uautoriseret bruger få fat i fortrolige data fra webstedet. Det kan fx være information om brugerkonti.
Hvis man har installeret pluginnen, kan sårbarheden udnyttes i to scenarier:
Webstedet anvender et NextGEN Basic TagCloud Gallery.
Webstedet tillader brugere at skrive indlæg.
Ifølge sikkerhedsfirmaet Sucuri kan en angriber få fat i passwords beskyttet med en hashfunktion eller hemmelige nøgler.
Fejlen er rettet i version 2.1.79 af NextGEN Gallery.
En gruppe sikkerhedsforskere fra Fraunhofer Institute for Secure Information Technology i Tyskland har analyseret de mest populære password manager-programmer på Google Play. De fandt en række sikkerhedshuller, der nu er lukket.
En password manager opbevarer alle brugerens passwords. De er beskyttet med et master-password.
Det viste sig, at nogle apps lagrede master-passwordet ukrypteret på smartphonen. Andre krypterede det, men lagde krypteringsnøglen i programkoden, så en angriber havde mulighed for at finde den.
Sikkerhedsforskere fra Google har offentliggjort et alvorligt sikkerhedshul i Internet Explorer og Edge. Fejlen ligger i funktionen HandleColumnBreakOnColumnSpanningElement i forbindelse med tabeller på websider.
En angriber kan udnytte sårbarheden ved at udarbejde en webside på en bestemt måde. Det kan medføre, at der kører skadelige programmer på den sårbare computer.
Microsoft udsender sikkerhedsrettelser næste gang den 14. marts.
Anbefaling
Overvej at bruge en alternativ browser, indtil fejlen er rettet.
ESET Endpoint Antivirus 6 for macOS indeholder en forældet version af et bibliotek til behandling af XML-data, POCO XML. Sårbarheden gør det muligt at afvikle skadelig programkode ved hjælp af XML-indhold, der er udformet på en bestemt måde.
Fejlen er rettet i version 6.4.168.0.
Ifølge sikkerhedsforskere fra Google kan sårbarheden udnyttes i forbindelse med et man-in-the-middle-angreb.
Anbefaling
Opdater til ESET Endpoint Antivirus 6 for macOS version 6.4.168.0.
En lang række websteder kører bag Cloudflare, der blandt andet beskytter mod DDoS-angreb. Tjenesten læser HTML-koden i webstederne og ændrer den, så links bliver omdirigeret.
I denne omskrivning af HTML er fejlen opstået, så data fra arbejdslageret blev sendt med ud til browserne.
Ifølge Cloudflare er det hovedsagelig sket mellem den 13. og 18. februar, hvor fejlen blev opdaget. Der skete lækage ved cirka en ud af 3,3 millioner HTTP-forespørgsler.
SHA-1 (Secure Hash Algorithm 1) er en hashfunktion, der ud fra et input danner en hashværdi af fast længde. Det er et krav til hashfunktioner, at forskellige input ikke må føre til den samme hashværdi – hvis de gør det, kan man ikke bruge hashværdien til at dokumentere, at der er tale om et bestemt dokument.
Google har sammen med forskere fra CWI Institute i Amsterdam dannet to PDF-dokumenter, der er forskellige, men som har samme SHA-1-hashværdi.
