sårbarheder

Dahua lukker hul i optagere og kameraer

Sårbarheden gør det muligt at ændre password for administratorbrugeren og logge ind som administrator.

Dahua har foreløbig udsendt opdateret firmware til 11 modeller, der er fundet sårbare. Efterhånden som firmaet fortsætter undersøgelserne, kan flere komme til.

Der er udsendt opdateringer til disse modeller:

Dansk

Mozilla lukker kritiske huller i Firefox

Den nye version lukker fem kritiske sikkerhedshuller. Derudover lukkes fire, som er vurderet til høj risiko, 11 moderate og seks lavrisikosårbarheder.

Endvidere er der fjernet en række fejl i behandlingen af arbejdslageret. Den type fejl vurderes traditionelt også som kritiske.

Foruden Firefox 52 er en række fejl også rettet i Firefox ESR 45.8.

Firefox 52 advarer brugere, når en webside med login-mulighed ikke er sikret med kryptering.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

Dansk

Google lukker 35 alvorlige huller i Android

Som vanligt er rettelserne opdelt i to pakker: En med rettelser til komponenter, der er fælles for mange Android-enheder, og en med rettelser til specifik hardware og software.

De generelle rettelser omfatter 11 kritiske sårbarheder, der findes i OpensSSL, BoringSSL, Mediaserver og recovery verifier.

De produktspecifikke rettelser lukker 24 kritiske huller i komponenter fra blandt andre MediaTek, Nvidia, Broadcom og Qualcomm.

Dansk

Angreb udnytter sårbarhed i Apache Struts

Sikkerhedsorganisationen Talos fra Cisco har set en lang række forsøg på at udnytte sårbarheden. De første var blot forsøg på at undersøge, om et system var sårbart ved at sende en uskadelig kommando.

Men senere angrebsforsøg udnytter sårbarheden til at downloade skadelig software til det sårbare system.

Sårbarheden ligger i Apache Struts-systemer, der bruger Jakarta Multipart parser til at uploade filer med.

Fejlen er rettet i Struts 2.3.32 og Struts 2.5.10.1.

Anbefaling

Opdater til Struts 2.3.32 eller Struts 2.5.10.1.

Dansk

WordPress lukker seks sikkerhedshuller

Tre af sårbarhederne er af typen cross-site scripting. En er en cross-site request forgery-sårbarhed (CSRF), mens en anden gør det muligt at snyde omdirigeringsfunktionen via specialtegn.

Endelig gør en sårbarhed det muligt at slette filer, der ikke skulle have været slettet, som led i funktionen til at slette plugins.

Flere af sårbarhederne blev fundet i forbindelse med projektet Summer of Pwnage, der kørte i juli sidste år. De rettede sårbarheder er nu blevet offentliggjort.

Dansk

Demo af SHA-1-kollision giver Subversion problemer

Problemet blev opdaget, efter at Google offentliggjorde det første eksempel på en kollision under SHA-1 (Secure Hash Algorithm 1). Kollisionen betyder, at to forskellige PDF-dokumenter danner den samme værdi, når de køres gennem SHA-1-algoritmen. Det burde ikke være muligt.

Udviklerne af WebKit lagde de to dokumenter ind i WebKits kildekodelager, der er baseret på Apache Subversion. Det medførte, at data blev ødelagt.

Dansk

Apps til Android var inficeret med Windows-malware

Sikkerhedsforskere fra Palo Alto Networks har identificeret de inficerede apps. De er skrevet af syv udviklere, der alle har forbindelse til Indonesien.

Udviklerne er sandsynligvis ofre for et inficeret udviklingsmiljø. Det ser ikke ud til, at de med vilje har indført den skadelige kode i deres apps.

Koden åbner en skjult iframe, der prøver at hente data fra eksterne URL'er. Nogle af URL'erne er konfiskeret af sikkerhedsfirmaer for flere år siden, fordi de har været brugt til at sprede skadelige programmer.

Dansk

NextGEN Gallery til WordPress lukker alvorligt hul

NextGEN Gallery har en sårbarhed af typen SQL-indsætning. Dermed kan en uautoriseret bruger få fat i fortrolige data fra webstedet. Det kan fx være information om brugerkonti.

Hvis man har installeret pluginnen, kan sårbarheden udnyttes i to scenarier:

  • Webstedet anvender et NextGEN Basic TagCloud Gallery.
  • Webstedet tillader brugere at skrive indlæg.

Ifølge sikkerhedsfirmaet Sucuri kan en angriber få fat i passwords beskyttet med en hashfunktion eller hemmelige nøgler.

Fejlen er rettet i version 2.1.79 af NextGEN Gallery.

Dansk

Sider

Abonnér på RSS - sårbarheder