Januar måneds opdateringer fordeler sig på 19 SAP Security Patch Day Notes og fire Support Package Notes.
Den alvorligste sårbarhed findes i SAP Sybase Asset Management. Det er en samling bufferoverløb, der har fået en CVSS-score (Common Vulnerability Scoring System) på 9,8.
En sårbarhed i SAP Single Sign-On med en CVSS-score på 7,5 gør det muligt at sætte systemet ud af drift.
Syv af sårbarhederne handler om manglende tjek af autorisation, mens der er fem cross-site scripting-sårbarheder.
Sårbarheden findes i Ansible Controller, der er det centrale overvågningsmodul. Det læser data fra de systemer, det administrerer.
Hvis en computer bliver overtaget, kan angriberen placere data på den, som Controller læser. Det kan misbruges til at afvikle programkode på Ansible Controller.
Fejlen er rettet i to versioner: Ansible 2.1.4 RC1 og 2.2.1 RC3.
Adobe har lukket 13 sikkerhedshuller i Flash Player og 29 huller i Acrobat og Reader. Hovedparten af sårbarhederne er alvorlige.
De alvorlige sårbarheder giver angribere mulighed for at afvikle programkode ved at lokke offeret til at åbne en fil eller besøge en webside. Dermed kan en angriber få fuld kontrol over det sårbare system.
Fejlene i Flash Player er rettet i version 24.0.0.194 til Windows, Macintosh, Linux og Chrome OS.
De rettede versioner af Acrobat og Reader er 15.023.20053, 15.006.30279 og 11.0.19.
Endvidere er der også en sikkerhedsrettelse med de rettelser til Adobe Flash Player, som Adobe netop har udsendt.
Rettelserne er beskrevet i fire sikkerhedsbulletiner. Det er sidste gang, Microsoft udsender sikkerhedsbulletiner. Fremover vil firmaet informere om sikkerhedsrettelser via en webportal, der giver mulighed for at søge og filtrere i data.
Mange brugere af MongoDB lader databasen være frit tilgængelig. Siden før jul har hackere udnyttet det til at få adgang til andres databaser.
En gruppe, der kalder sig Harak1r1, kopierer indholdet fra databasen, hvorefter de sletter det. Tilbage er kun en enkelt database ved navn Warning med information om, at offeret skal betale 0,2 bitcoin for at få sine data tilbage.
Siden har flere andre hackergrupper udført lignende angreb. Over 28.000 databaser menes nu at være ramt.
Google har lukket 95 sikkerhedshuller i Android. Ti af dem har fået den højeste risikovurdering.
Januar måneds sikkerhedsrettelser er opdelt i to grupper: En til sårbarheder, der findes i Android generelt, og en med rettelser til specifikke software- og hardware-kombinationer.
Kun en af de generelle sårbarheder er kritisk. Den findes i Mediaserver, der også tidligere har været ramt af alvorlige sårbarheder.
14 af de generelle sårbarheder har fået Googles næsthøjeste risikovurdering.
Libpng bruges i applikationer, der viser eller gemmer billeder i PNG-formatet (Portable Network Graphics). Sårbarheden findes ikke i programmer, der kun viser billeder. Den kan findes i billedredigeringsprogrammer, men udviklerne kender ikke nogen, hvor den kan udnyttes uden at brugeren gør noget aktivt.
Sårbarheden opstår, hvis applikationen gemmer tekst i PNG-strukturen, sletter den og tilføjer den igen.
Sårbarheden ligger i funktionen til at administrere routeren via en web-grænseflade. Som standard er den kun slået til på lokalnetsiden, så sårbarheden ikke kan udnyttes ude fra internettet.
Hvis brugeren har slået fjernadministration til på internetsiden, kan angribere udnytte sårbarheden til at ændre på konfigurationen. Det er også muligt at få adgang til administratorpasswordet og starte telnet på routeren, hvorefter angriberen har fuld kontrol over den.
Netgear oplyser, at alle firmwareversioner til WNR2000v5, WNR2000v4 og WNR2000v3 er sårbare.
En angriber kan udnytte sårbarheden til at afvikle kommandoer på webserveren.
Sikkerhedsforsker Dawid Golunski har fundet sårbarheden i PHPMailer, SwiftMailer og Zend Framework. Fejlen er rettet i PHPMailer 5.2.20.
Udviklerne af SwiftMailer har forsøgt at lukke hullet med version 5.4.5. Sikkerhedsforsker Paul Buonopane mener imidlertid, at rettelsen ikke er tilstrækkelig til at lukke hullet.
Zend Framework har lukket hullet med version 2.7.2 af zend-mail.
