sårbarheder

Mozilla lukker alvorligt hul i Firefox

Dansk

Mozilla har lukket et alvorligt sikkerhedshul i Firefox. Sårbarheden har fået en CVSS-score (Common Vulnerability Scoring System) på 8,8 ud af 10. Udviklerne betegner den som kritisk.

Sårbarheden lader en webside afvikle kode, der er beregnet for elementer i browserens brugergrænseflade. Ved at indlejre skadelig HTML-kode i denne kode kan en angriber køre kommandoer på computeren.

Firefox 56, 57 og 58 er sårbare. Fejlen er rettet i Firefox 58.0.1.

Firefox til Android er ikke sårbar.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

Cisco lukker alvorligt hul i VPN-udstyr

Dansk

Cisco har lukket en sårbarhed i SSL-VPN-funktionen i Cisco Adaptive Security Appliance (ASA). Sårbarheden har fået en CVSS-score (Common Vulnerability Scoring System) på de maksimale 10.

En angriber kan udnytte sårbarheden ude fra nettet uden at angive brugernavn og password.

Produkter i ASA-serien og Firepower er sårbare, hvis funktionen Webvpn er slået til.

Fejlene er rettet i følgende ASA-versioner:

Asus lukker to sikkerhedshuller i software til routere

Dansk

Firmwaren AsusWRT til flere routere fra Asus har to sårbarheder. Den ene giver uvedkommende mulighed for at uploade data til routeren. Den anden sårbarhed kan udnytte den første til at ændre på routerens konfiguration.

Herved kan en angriber få fuld kontrol over routeren.

Asus har lukket hullet med AsusWRT 3.0.0.4.384_10007.

Berørte modeller er:

Google lukker 53 sikkerhedshuller i Chrome

Dansk

Google har udsendt Chrome 64, der fjerner 53 sårbarheder fra browseren. Derudover skulle der også være indbygget metoder til at forhindre, at processorsårbarheden Spectre kan udnyttes.

Ingen af de 53 sårbarheder har fået Googles højeste risikovurdering. Tre af dem har fået den næsthøjeste. Den alvorligste sårbarhed findes i PDFium, den affødte en dusør på 3.000 dollars til sikkerhedsforskeren, der fandt den.

Fejlene er rettet i Chrome 64.0.3282.119 til Windows, macOS og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Apple retter iTunes, iCloud, Safari, watchOs, iOS, macOS og tvOS

Dansk

Den 23. januar udsendte Apple en stribe softwareopdateringer, der lukker sikkerhedshuller i iTunes til Windows, iCloud til Windows, Safari, watchOs, iOS, macOS og tvOS.

ITunes 12.7.3 for Windows lukker to sikkerhedshuller i WebKit.

iCloud for Windows 7.3 lukker de samme sikkerhedshuller.

Safari 11.0.3 lukker tre sikkerhedshuller i WebKit.

WatchOS 4.2.2 lukker 12 sikkerhedshuller.

IOS 11.2.5 lukker 13 sikkerhedshuller.

Skype og Slack lukker sikkerhedshul i Electron

Dansk

Udviklerne af Electron har lukket et alvorligt sikkerhedshul. Electron anvendes til udvikling af applikationer på tværs af platforme. Sårbarheden findes kun i applikationer til Windows udviklet med Electron.

Fejlen findes i applikationer, der registrerer sig som standardapplikation for en skræddersyet protokol af typen protokol://.

Chatprogrammerne Skype og Slack til Windows er berørt. Sikkerhedshullet er lukket i den seneste version.

Sårbarheden i Electron er lukket med version 1.8.2-beta.4, 1.7.11 og 1.6.16.

Blizzard er ved at lukke sikkerhedshul i spil

Dansk

Sikkerhedsforsker Tavis Ormandy fra Google har fundet et sikkerhedshul i programmet Blizzard Update Agent, som installeres sammen med spil fra Blizzard. Programmet lader spillene blive opdateret automatisk.

Update Agent installerer en lokal web-server på brugerens computer. Opdateringsservere kommunikerer med den og giver den besked, når et program skal opdateres.

Sårbarheden består i, at andre websteder også kan kommunikere med den. Der er en adgangskontrol, men Tavis Ormandy har fundet en metode til at omgå den via såkaldt DNS-rebinding.

Firefox lukker 32 sikkerhedshuller

Dansk

Den nyeste udgave af browseren Firefox lukker 32 sikkerhedshuller, hvoraf tre har fået Mozillas højeste risikovurdering.

13 er vurderet til høj risiko, 13 til moderat og tre til lav risiko.

Sikkerhedshullerne er lukket i version 58.

11 af sårbarhederne findes også i ESR-versionen. De er fjernet i Firefox ESR 52.6.

Anbefaling

Opdater til en rettet version.

Hul i Tinder lader andre kigge med

Dansk

Sikkerhedsforskere har opdaget svagheder i dating-appen Tinder til iOS og Android. Sårbarhederne skyldes, at appen ikke bruger HTTPS (Hypertext Transfer Protocol Secure) konsekvent.

Sårbarhederne medfører, at en angriber på samme netværk som offeret kan se, hvilke billeder vedkommende kigger på. Angriberen kan også indsætte sine egne billeder og se, om offeret fører sin finger mod venstre eller højre. Det markerer holdningen til personen på billedet.

Angriberne har ingen mulighed for at stjæle offerets brugernavn og password via sårbarhederne.

Intel har fundet årsag til genstart efter firmware-opdatering

Dansk

Intel har nu fundet årsagen til, at nogle systemer genstarter uønsket, efter at man har installeret en firmwareopdatering. Formålet med opdateringen er at beskytte mod Spectre-sårbarheden i firmaets processorer.

Fejlen opstår på processorer i familierne Broadwell og Haswell.

Intel har udsendt en ny version af firmwareopdateringen til computerproducenter. Når de er færdigtestet, bliver den generelt tilgængelig.

Indtil da anbefaler Intel, at man ikke installerer de opdateringer, der hidtil er udsendt.

Sider

Abonnér på RSS - sårbarheder