sårbarheder

MikroTik lukker alvorligt hul i RouterOS

Dansk

Sikkerhedsfirmaet Core Security har fundet en sårbarhed i RouterOS fra det lettiske firma MikroTik. RouterOS er et Linux-baseret styresystem til routere, som anvendes i produkter fra MikroTik selv og mange andre virksomheder.

En udefrakommende angriber kan udnytte sårbarheden til at afvikle skadelig programkode på routeren.

Sikkerhedshullet ligger i behandlingen af SMB (Server Message Block). Det aktiveres, før brugeren bliver autentificeret, så en angriber har ikke brug for at kende et brugernavn og password for at udnytte det.

Konkurrence finder huller i Safari, Edge og Firefox

Dansk

Ved konkurrencen Pwn2Own 2018 har sikkerhedsforskere udnyttet hidtil ukendte sårbarheder til at afvikle skadelig programkode.

Konkurrencedeltagerne knækkede sikkerheden i Apples Safari, Microsoft Edge og Firefox. Der var også et delvis vellykket angreb på Oracle Virtualbox.

Arrangøren, Trend Micro's Zero Day Initiative (ZDI), sender nu information om sårbarhederne videre til producenterne. De har 90 dage til at lukke hullerne, før informationen bliver offentliggjort.

I alt blev der uddelt præmier for 267.000 dollars ved konkurrencen.

Microsoft dropper antiviruskrav til Windows 10-opdateringer

Dansk

Da Microsoft begyndte at udsende rettelser til processorsårbarhederne Meltdown og Spectre, krævede firmaet, at antivirusprogrammer skulle ændre en indstilling i registreringsdatabasen. Det skulle ske for at markere, at antivirusprogrammet var i stand til at køre, når opdateringerne var installeret.

Det krav er nu fjernet for Windows 10, men gælder stadig for ældre versioner af Windows.

Mozilla lukker 18 huller i Firefox

Dansk

Mozilla har udsendt Firefox 59, der fjerner 18 sårbarheder fra browseren. En del af dem findes også i ESR-versionen, de er rettet i version ESR 52.7.

De to alvorligste sårbarheder er knyttet til behandlingen af arbejdslageret.

Foruden sikkerhedsrettelserne giver den nye version øget privatlivsbeskyttelse ved privat browsing. Den kan fjerne følsom information fra URL'er såsom brugernavne, mail-adresser og lignende.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

AMD-processorer kan være sårbare

Dansk

Et sikkerhedsfirma ved navn CTS Labs har offentliggjort oplysninger om 13 sårbarheder i AMD-processorer. Sårbarhederne skulle findes i EPYC, Ryzen, Ryzen Pro og Ryzen Mobile.

Angribere kan udnytte sårbarhederne, hvis de har mulighed for at afvikle kode med privilegier som administrator/root.

Nogle af sårbarhederne ligger angiveligt i AMD Secure Processor, som indgår i mange af AMD's produkter. Det skulle være muligt at installere skadelig software i Secure Processor, hvilket vil være meget vanskeligt at opdage.

Adobe lukker huller i Flash, Dreamweaver og Connect

Dansk

Månedens sikkerhedsopdateringer fra Adobe lukker to kritiske sikkerhedshuller i Flash Player. Sårbarhederne giver angribere mulighed for at afvikle skadelig programkode.

Fejlene er rettet i Flash Player 29.0.0.113 til Windows, Mac, Linux og Chrome OS.

Der er også en kritisk sårbarhed i Adobe Dreamweaver CC. Den er rettet i version 18.1.

En opdatering til Adobe Connect lukker to sikkerhedshuller, som Adobe betegner som vigtige. Den enge giver mulighed for at slette filer, den anden tillader upload af SWF-filer.

Fejlene er rettet i Adobe Connect 9.7.5.

Microsoft lukker 74 sikkerhedshuller

Dansk

Marts måneds opdateringer fra Microsoft lukker 14 sikkerhedshuller, der har fået firmaets højeste risikovurdering. 59 har fået den næsthøjeste.

Alle de kritiske sårbarheder findes i browsere eller deres scripting-systemer.

Blandt de mindre kritiske sårbarheder fremhæver sikkerhedsfirmaet Cisco Talos en, der kan vise sig mere alvorlig: En angriber kan udnytte en sårbarhed i Windows Shell til at afvikle programkode. Det kræver, at offeret narres til at åbne en fil, der fx sendes som e-mail eller ligger på en webside.

I alt er der rettelser til disse produkter:

Hanwha Techwin lukker 10 huller i overvågningskameraer

Dansk

Sikkerhedsforskere fra Kaspersky har fundet 13 sårbarheder i overvågningskameraet Hanwha SNH-V6410PN/PNW SmartCam fra firmaet Hanwha Techwin. Producenten har lukket 10 af sikkerhedshullerne og er i gang med at fjerne resten.

Sårbarhederne ligger blandt andet i det cloud-system, som kameraerne kommunikerer med. En angriber kan få adgang til alle kameraer ved at hacke sig ind på cloud-systemet.

Det er også muligt at afvikle programkode med privilegier som root.

Andre modeller af kameraer fra producenten kan også være sårbare.

Google lukker 11 kritiske huller i Android

Dansk

Google har udsendt marts måneds sikkerhedsopdateringer til Android. De lukker 37 sikkerhedshuller i operativsystemet til smartphones og tablet-computere.

11 sårbarheder har fået Googles højeste risikovurdering. De kritiske sårbarheder findes i Media Framework og System. Inden for de hardwarespecifikke sårbarheder er der tre kritiske inden for Qualcomm-komponenter.

Fejlene er rettet med 2018-03-01 security patch level og 2018-03-05 security patch level.

Anbefaling

Afvent opdateringer fra producenten af jeres smartphones og tablets.

Google lukker 45 huller i Chrome

Dansk

Mange af de 45 sårbarheder, som Google har fjernet i version 65 af Chrome, er fundet af eksterne sikkerhedsforskere. Ingen af dem har fået firmaets højeste risikovurdering, men ni har fået den næsthøjeste.

To af de alvorlige sårbarheder affødte en dusør på 5.000 dollars for hver til den sikkerhedsforsker, der fandt dem.

De alvorlige sårbarheder findes blandt andet i Flash, Blink, V8 og Skia.

Fejlene er rettet i Chrome 65.0.3325.146 til Windows, macOS og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Sider

Abonnér på RSS - sårbarheder