sårbarheder

Fejl i WordPress stopper automatisk opdatering

Dansk

WordPress har udsendt version 4.9.4. Den retter en fejl i version 4.9.3, som blev udsendt for nylig.

Fejlen gør, at automatisk opdatering af WordPress ikke længere fungerer.

Derfor er det nødvendigt at opdatere manuelt til 4.9.4, hvis man har opdateret til 4.9.3.

Anbefaling

Opdater manuelt til WordPress 4.9.4 via Dashboard->Updates, fra kommandolinjen med WP-CLI eller PHP, eller via FTP.

Lenovo tilbagekalder ThinkPad X1 Carbon på grund af brandfare

Dansk

Ifølge en advarsel fra Lenovo har nogle eksemplarer af ThinkPad X1 Carbon en løs skrue. Den kan skade batteriet, så det overophedes og måske bryder i brand.

De sårbare enheder er produceret mellem december 2016 og oktober 2017. Kun laptops med disse maskintyper er berørt: 20HQ, 20HR, 20K3 og 20K4.

Alene i Nordamerika er der solgt over 80.000 ThinkPad X1 Carbon-laptops.

Anbefaling

Tjek om jeres laptops er berørt. Kontakt i givet fald forhandleren.

Adobe lukker alvorlige huller i Flash Player

Dansk

I sidste uge advarede sikkerhedsforskere om, at de havde fundet skadelige filer, der udnyttede et hidtil ukendt sikkerhedshul i Adobe Flash Player.

Adobe har nu fjernet sårbarheden sammen med en anden sårbarhed.

Begge sårbarheder har fået firmaets højeste risikovurdering.

Fejlene er rettet i Flash Player version 28.0.0.161 til alle platforme.

Anbefaling

Opdater eller afinstaller Adobe Flash Player.

Grammarly lukker hul der gav adgang til dokumenter

Dansk

Grammarly-tilføjelsen til Chrome lader brugere tjekke tekster for sprogfejl. Sikkerhedsforsker Tavis Ormandy fra Google har opdaget en sårbarhed, der giver ethvert websted adgang til en brugers data.

Sårbarheden skyldes, at Grammarly gør det muligt for et websted at se brugerens brugernavn og en tekst, der bruges til adgangskontrol. Dermed kan et websted, som brugeren af Grammarly besøger, give sig ud for at være brugeren og få adgang til alle dokumenter, brugeren har uploadet til Grammarly.

Cisco retter rettelse til ASA

Dansk

Cisco udsendte den 29. januar en opdatering til Adaptive Security Appliance (ASA), der lukkede et meget alvorligt sikkerhedshul. Sårbarheden har fået den højeste risikovurdering med en CVSS-score (Common Vulnerability Scoring System) på 10.

Virksomheden har opdaget, at rettelsen ikke lukkede sikkerhedshullet fuldstændigt. I går udsendte den derfor en opdateret version af rettelsen.

Cisco har også fundet yderligere metoder til at udnytte sårbarheden.

Systemer er sårbare, hvis SSL-tjenester (Secure Sockets Layer) eller IKE v2 (Internet Key Exchange) er slået til.

Alvorligt hul i Flash Player står åbent

Dansk

Sydkoreas internet- og sikkerhedsagentur KISA advarer om en sårbarhed i den nyeste udgave af Adobe Flash Player. Adobe lukker hullet på tirsdag.

Ifølge det sydkoreanske sikkerhedsfirma Hauri har Nordkorea udnyttet sårbarheden i angreb på sydkoreanere siden midten af november.

Det ser ud til, at angreb blandt andet finder sted i form af Excel-filer med indlejrede Flash-komponenter.

Anbefaling

Slå Adobe Flash Player fra, indtil hullet er lukket.

ManageEngine fjerner syv sårbarheder

Dansk

ManageEngine-programmerne ServiceDesk Plus, Service Plus MSP, OpManager, Firewall Analyzer, Network Configuration Manager, OpUtils og NetFlow Analyzer er sårbare. Producenten Zoho har udsendt opdateringer, der lukker sikkerhedshullerne.

En sårbarhed i ServiceDesk Plus lader en angriber uploade og køre en fil på systemet. Dermed kan angriberen få fuld kontrol over systemet.

Andre sårbarheder tillader SQL-indsætning, så angribere kan afvikle databasekommandoer.

Anbefaling

Installer de opdaterede versioner af ManageEngine-programmerne.

Mozilla lukker 10 huller i Thunderbird

Dansk

Thunderbird version 52.6 lukker 10 sikkerhedshuller, hvoraf et enkelt regnes for kritisk. Det består i diverse fejl i styringen af arbejdslageret.

Otte sårbarheder har fået Mozillas næsthøjeste risikovurdering, mens den sidste udgør en moderat risiko.

Hovedparten af sårbarhederne vil som udgangspunkt være vanskelige at udnytte for en angriber, da scriptfunktioner er slået fra som standard.

Anbefaling

Opdater til Thunderbird 52.6.

Lenovo lukker hul i program til fingeraftryk

Dansk

Lenovo Fingerprint Manager Pro gør det muligt at logge ind på en Lenovo-pc ved hjælp af et fingeraftryk. For at kunne gøre det opbevarer programmet blandt andet brugerens brugernavn og password i krypteret form.

En sikkerhedsforsker har opdaget, at programmet anvender en svag form for kryptering. Endvidere findes der et standardpassword, som kan give enhver bruger af pc'en adgang til data. Dermed kan en almindelig bruger finde frem til brugernavn og password for administratorbrugere.

En angriber skal have adgang til pc'en for at kunne udnytte sårbarheden.

Windows-opdatering slår Intels Spectre-beskyttelse fra

Dansk

Intel har advaret om, at der er fejl i firmaets tidligere udsendte firmwareopdatering til beskyttelse mod processorsårbarheden Spectre. Opdateringen kan få systemer til at genstarte eller på anden måde opføre sig uønsket. Det kan føre til tab af data.

Microsoft udsendte i sidste uge en opdatering, der forhindrer problemer på systemer, hvor firmwareopdateringen er installeret.

Opdateringen installeres ikke automatisk. Man kan hente den, hvis man har installeret firmwareopdateringen og oplever problemer.

Sider

Abonnér på RSS - sårbarheder