sårbarheder

Stor stigning i sårbarheder sidste år

Dansk

I 2017 blev der opdaget 127 procent flere sårbarheder end året før. Det fremgår af statistikker fra USA's National Vulnerability Database.

I alt registrerede National Vulnerability Database 14.643 nye sårbarheder i it-systemer i 2017.

Over halvdelen fik risikovurderingen middel, mens over 4.000 blev regnet for høj risiko.

Andelen af kritiske sårbarheder faldt en smule fra 17 til 15 procent.

graf over sårbarheder

ISC lukker hul i BIND

Dansk

En sårbarhed i BIND kan få DNS-serveren til at gå ned. Det kræver dog, at serveren anvender DNSSEC (Domain Name System Security Extensions).

Fejlen har været i BIND siden år 2000.

ISC, der udvikler BIND, har fjernet sårbarheden med disse versioner:

  • 9 version 9.9.11-P1
  • 9 version 9.10.6-P1
  • 9 version 9.11.2-P1
  • 9 version 9.12.0rc2

Anbefaling

Opdater til en rettet version.

WordPress lukker et sikkerhedshul

Dansk

Udviklerne af WordPress har lukket et sikkerhedshul i biblioteket MediaElement 4.

Sårbarheden ligger i en Flash-baseret funktion i MediaElement. De fleste brugere kan klare sig uden, så derfor er den fjernet fra standardinstallationen af WordPress.

Hvis man har brug for den Flash-baserede udgave, kan man hente en opdateret version som et plugin.

Fejlen er rettet i WordPress 4.9.2.

Anbefaling

Opdater WordPress.

Angribere kan udnytte funktion i Word til at få fat i adgangskoder

Dansk

Sikkerhedsforskere har opdaget en ny angrebsmetode, der anvender funktionen subDoc i Microsoft Word. SubDoc gør det muligt at angive et underdokument, der skal indlæses i det aktuelle dokument.

Underdokumentet kan befinde sig på en anden computer. Sikkerhedsfirmaet Rhino Security Labs har opdaget, at når Word forsøger at hente underdokumentet, og det ligger på en password-beskyttet server, prøver Word at logge ind. Derved sendes brugerens navn og hashfunktionen af adgangskoden til serveren.

Firmware-opdatering kan få Intel-udstyr til at genstarte

Dansk

Intel oplyser, at nogle få kunder har oplevet flere system-genstarter, efter at de har installeret firmware-opdateringer. Det drejer sig om både pc'er og servere.

Problemerne rammer systemer med CPU'erne Broadwell og Haswell.

Intel er ved at undersøge problemet. Løsningen kan vise sig at være en ny udgave af firmwaren.

Lenovo oplyser, at firmaet har modtaget mikrokode-opdateringer fra Intel. Siden har Intel trukket en af dem tilbage. Kunder anbefales at vente med at installere to øvrige opdateringer, indtil problemer med dem er løst.

IBM er på vej med rettelser til POWER

Dansk

IBM's POWER-processorer er berørt af sårbarhederne Spectre og Meltdown. For at lukke hullerne skal man installere firmware-opdateringer og softwareopdateringer.

Rettet firmware til POWER7+ og POWER8 er udsendt.

Firmwareopdatering til POWER9 er klar den 15. januar. IBM har endnu ikke oplyst, hvornår rettelser til ældre arkitekturer er klar.

Opdateringer til Linux er klar.

Opdateringer til AIX og IBM i (det tidligere OS/400) ventes klar den 12. februar.

Anbefaling

Installer opdateringer fra IBM.

Spectre-opdateringer gør ældre Windows-versioner langsommere

Dansk

Microsoft oplyser, at Windows 7 og 8 på ældre hardware kører lidt langsommere, efter at man installerer sikkerhedsopdateringer rettet mod Spectre og Meltdown. Det er sårbarheder i processorer.

"De fleste brugere vil opleve en nedgang i systemets ydeevne," skriver Microsoft i et blogindlæg.

Med ældre hardware menes Intel-processorer fra 2015 eller før.

Nogle brugere vil også opleve en sløvere pc med Windows 10, hvis den kører på ældre hardware. Har man en processor fra 2016 eller senere, vil den negative indvirkning derimod være så lille, at den næppe bemærkes.

Microsoft lukker 56 sikkerhedshuller

Dansk

De 56 sikkerhedsrettelser i januars samling fra Microsoft omfatter de rettelser til hardwaresårbarhederne Meltdown og Spectre, der blev udsendt tidligere på måneden.

I alt har Microsoft givet 16 af sårbarhederne firmaets højeste risikovurdering. Dog er der 28 sårbarheder, som lader angribere afvikle skadelig programkode.

De kritiske sårbarheder berører Windows, Outlook, Word og scripting-delen af browserne Internet Explorer og Edge.

Anbefaling

Test og installer opdateringerne fra Microsoft.

Adobe lukker hul i Flash Player

Dansk

Adobe har udsendt en opdatering til Flash Player, der fjerner en sårbarhed. Den kan medføre, at uvedkommende får adgang til fortrolig information.

Adobe betegner opdateringen som vigtig, men ikke kritisk.

Fejlen er rettet i Adobe Flash Player version 28.0.0.137 til alle platforme.

Anbefaling

Opdater Flash Player eller afinstaller produktet, hvis I kan undvære det.

Sider

Abonnér på RSS - sårbarheder