En gruppe sikkerhedsforskere fra Fraunhofer Institute for Secure Information Technology i Tyskland har analyseret de mest populære password manager-programmer på Google Play. De fandt en række sikkerhedshuller, der nu er lukket.
En password manager opbevarer alle brugerens passwords. De er beskyttet med et master-password.
Det viste sig, at nogle apps lagrede master-passwordet ukrypteret på smartphonen. Andre krypterede det, men lagde krypteringsnøglen i programkoden, så en angriber havde mulighed for at finde den.
Sikkerhedsforskere fra Google har offentliggjort et alvorligt sikkerhedshul i Internet Explorer og Edge. Fejlen ligger i funktionen HandleColumnBreakOnColumnSpanningElement i forbindelse med tabeller på websider.
En angriber kan udnytte sårbarheden ved at udarbejde en webside på en bestemt måde. Det kan medføre, at der kører skadelige programmer på den sårbare computer.
Microsoft udsender sikkerhedsrettelser næste gang den 14. marts.
Anbefaling
Overvej at bruge en alternativ browser, indtil fejlen er rettet.
ESET Endpoint Antivirus 6 for macOS indeholder en forældet version af et bibliotek til behandling af XML-data, POCO XML. Sårbarheden gør det muligt at afvikle skadelig programkode ved hjælp af XML-indhold, der er udformet på en bestemt måde.
Fejlen er rettet i version 6.4.168.0.
Ifølge sikkerhedsforskere fra Google kan sårbarheden udnyttes i forbindelse med et man-in-the-middle-angreb.
Anbefaling
Opdater til ESET Endpoint Antivirus 6 for macOS version 6.4.168.0.
En lang række websteder kører bag Cloudflare, der blandt andet beskytter mod DDoS-angreb. Tjenesten læser HTML-koden i webstederne og ændrer den, så links bliver omdirigeret.
I denne omskrivning af HTML er fejlen opstået, så data fra arbejdslageret blev sendt med ud til browserne.
Ifølge Cloudflare er det hovedsagelig sket mellem den 13. og 18. februar, hvor fejlen blev opdaget. Der skete lækage ved cirka en ud af 3,3 millioner HTTP-forespørgsler.
SHA-1 (Secure Hash Algorithm 1) er en hashfunktion, der ud fra et input danner en hashværdi af fast længde. Det er et krav til hashfunktioner, at forskellige input ikke må føre til den samme hashværdi – hvis de gør det, kan man ikke bruge hashværdien til at dokumentere, at der er tale om et bestemt dokument.
Google har sammen med forskere fra CWI Institute i Amsterdam dannet to PDF-dokumenter, der er forskellige, men som har samme SHA-1-hashværdi.
Sårbarheden har sandsynligvis været i Linux-kernen siden oktober 2005. På det tidspunkt blev der indført understøttelse af Datagram Congestion Control Protocol (DCCP), og fejlen ligger i den funktion.
En angriber eller et skadeligt program kan udnytte sårbarheden til at afvikle kode med privilegier som root.
I Java ligger sårbarheden i funktionen XML eXternal Entity (XEE), som gør det muligt at hente eksterne XML-data. Data kan blandt andet hentes via FTP.
Implementeringen af FTP i XEE filtrerer ikke linjeskift fra. Derfor er det muligt at indsætte kommandoer i en FTP-URL.
Sikkerhedsforsker Alexander Klink har demonstreret, hvordan sårbarheden kan bruges til at sende kommandoer til en mailserver og dermed sende e-mails fra offerets server.
Sikkerhedsforsker Timothy Morgan har opdaget, at der er videre perspektiver ved sårbarheden, som både findes i Java og i Python.
En angriber kan udnytte sårbarheden ved at udforme en GarageBand-projektfil på en bestemt måde. Hvis offeret åbner filen, kan der afvikles skadelig programkode.
De to alvorligste sårbarheder kan kun udnyttes, hvis man kan logge ind på routeren. Derfor opfordrer TP-Link ejerne til at ændre brugernavn og password, så routeren ikke anvender standardindstillingerne.
Sårbarhederne giver angribere mulighed for at afvikle kommandoer, sætte routeren ud af drift eller trænge igennem firewallen.
TP-Link regner med at udsende opdateret firmware i denne måned.
Anbefaling
Skift brugernavn og password. Afvent opdateret firmware.