ESET Endpoint Antivirus 6 for macOS indeholder en forældet version af et bibliotek til behandling af XML-data, POCO XML. Sårbarheden gør det muligt at afvikle skadelig programkode ved hjælp af XML-indhold, der er udformet på en bestemt måde.
Fejlen er rettet i version 6.4.168.0.
Ifølge sikkerhedsforskere fra Google kan sårbarheden udnyttes i forbindelse med et man-in-the-middle-angreb.
Anbefaling
Opdater til ESET Endpoint Antivirus 6 for macOS version 6.4.168.0.
En lang række websteder kører bag Cloudflare, der blandt andet beskytter mod DDoS-angreb. Tjenesten læser HTML-koden i webstederne og ændrer den, så links bliver omdirigeret.
I denne omskrivning af HTML er fejlen opstået, så data fra arbejdslageret blev sendt med ud til browserne.
Ifølge Cloudflare er det hovedsagelig sket mellem den 13. og 18. februar, hvor fejlen blev opdaget. Der skete lækage ved cirka en ud af 3,3 millioner HTTP-forespørgsler.
SHA-1 (Secure Hash Algorithm 1) er en hashfunktion, der ud fra et input danner en hashværdi af fast længde. Det er et krav til hashfunktioner, at forskellige input ikke må føre til den samme hashværdi – hvis de gør det, kan man ikke bruge hashværdien til at dokumentere, at der er tale om et bestemt dokument.
Google har sammen med forskere fra CWI Institute i Amsterdam dannet to PDF-dokumenter, der er forskellige, men som har samme SHA-1-hashværdi.
Sårbarheden har sandsynligvis været i Linux-kernen siden oktober 2005. På det tidspunkt blev der indført understøttelse af Datagram Congestion Control Protocol (DCCP), og fejlen ligger i den funktion.
En angriber eller et skadeligt program kan udnytte sårbarheden til at afvikle kode med privilegier som root.
I Java ligger sårbarheden i funktionen XML eXternal Entity (XEE), som gør det muligt at hente eksterne XML-data. Data kan blandt andet hentes via FTP.
Implementeringen af FTP i XEE filtrerer ikke linjeskift fra. Derfor er det muligt at indsætte kommandoer i en FTP-URL.
Sikkerhedsforsker Alexander Klink har demonstreret, hvordan sårbarheden kan bruges til at sende kommandoer til en mailserver og dermed sende e-mails fra offerets server.
Sikkerhedsforsker Timothy Morgan har opdaget, at der er videre perspektiver ved sårbarheden, som både findes i Java og i Python.
En angriber kan udnytte sårbarheden ved at udforme en GarageBand-projektfil på en bestemt måde. Hvis offeret åbner filen, kan der afvikles skadelig programkode.
De to alvorligste sårbarheder kan kun udnyttes, hvis man kan logge ind på routeren. Derfor opfordrer TP-Link ejerne til at ændre brugernavn og password, så routeren ikke anvender standardindstillingerne.
Sårbarhederne giver angribere mulighed for at afvikle kommandoer, sætte routeren ud af drift eller trænge igennem firewallen.
TP-Link regner med at udsende opdateret firmware i denne måned.
Anbefaling
Skift brugernavn og password. Afvent opdateret firmware.
Alle sikkerhedshullerne i Adobe Flash Player giver en angriber mulighed for at overtage kontrollen med den computer, programmet kører på. De er fjernet i version 24.0.0.221 til Windows, Macintosh og Linux.
En af sårbarhederne i Digital Editions er også alvorlig, mens de øvrige otte er mindre kritiske. Fejlene er rettet i version 4.5.4 til Windows, Macintosh, iOS og Android.
De to sårbarheder i Adobe Campaign er ikke alvorlige. De er rettet i version 16.8 Build 8757.
Microsoft oplyser, at problemet kunne få betydning for nogle kunder. Det blev ikke løst inden den 14. februar, hvor firmaet ifølge planen skulle have udsendt februar måneds rettelser.
I stedet er alle rettelserne udskudt til næste måned, hvor de udsendes på den planlagte dato, den 14. marts.
Dermed må brugerne blandt andet vente på en løsning til et sikkerhedshul i SMB (Server Message Block), som angribere kan bruge til at få en Windows-pc til at gå ned.
