sårbarheder

Skype og Slack lukker sikkerhedshul i Electron

Dansk

Udviklerne af Electron har lukket et alvorligt sikkerhedshul. Electron anvendes til udvikling af applikationer på tværs af platforme. Sårbarheden findes kun i applikationer til Windows udviklet med Electron.

Fejlen findes i applikationer, der registrerer sig som standardapplikation for en skræddersyet protokol af typen protokol://.

Chatprogrammerne Skype og Slack til Windows er berørt. Sikkerhedshullet er lukket i den seneste version.

Sårbarheden i Electron er lukket med version 1.8.2-beta.4, 1.7.11 og 1.6.16.

Blizzard er ved at lukke sikkerhedshul i spil

Dansk

Sikkerhedsforsker Tavis Ormandy fra Google har fundet et sikkerhedshul i programmet Blizzard Update Agent, som installeres sammen med spil fra Blizzard. Programmet lader spillene blive opdateret automatisk.

Update Agent installerer en lokal web-server på brugerens computer. Opdateringsservere kommunikerer med den og giver den besked, når et program skal opdateres.

Sårbarheden består i, at andre websteder også kan kommunikere med den. Der er en adgangskontrol, men Tavis Ormandy har fundet en metode til at omgå den via såkaldt DNS-rebinding.

Firefox lukker 32 sikkerhedshuller

Dansk

Den nyeste udgave af browseren Firefox lukker 32 sikkerhedshuller, hvoraf tre har fået Mozillas højeste risikovurdering.

13 er vurderet til høj risiko, 13 til moderat og tre til lav risiko.

Sikkerhedshullerne er lukket i version 58.

11 af sårbarhederne findes også i ESR-versionen. De er fjernet i Firefox ESR 52.6.

Anbefaling

Opdater til en rettet version.

Hul i Tinder lader andre kigge med

Dansk

Sikkerhedsforskere har opdaget svagheder i dating-appen Tinder til iOS og Android. Sårbarhederne skyldes, at appen ikke bruger HTTPS (Hypertext Transfer Protocol Secure) konsekvent.

Sårbarhederne medfører, at en angriber på samme netværk som offeret kan se, hvilke billeder vedkommende kigger på. Angriberen kan også indsætte sine egne billeder og se, om offeret fører sin finger mod venstre eller højre. Det markerer holdningen til personen på billedet.

Angriberne har ingen mulighed for at stjæle offerets brugernavn og password via sårbarhederne.

Intel har fundet årsag til genstart efter firmware-opdatering

Dansk

Intel har nu fundet årsagen til, at nogle systemer genstarter uønsket, efter at man har installeret en firmwareopdatering. Formålet med opdateringen er at beskytte mod Spectre-sårbarheden i firmaets processorer.

Fejlen opstår på processorer i familierne Broadwell og Haswell.

Intel har udsendt en ny version af firmwareopdateringen til computerproducenter. Når de er færdigtestet, bliver den generelt tilgængelig.

Indtil da anbefaler Intel, at man ikke installerer de opdateringer, der hidtil er udsendt.

Stor stigning i sårbarheder sidste år

Dansk

I 2017 blev der opdaget 127 procent flere sårbarheder end året før. Det fremgår af statistikker fra USA's National Vulnerability Database.

I alt registrerede National Vulnerability Database 14.643 nye sårbarheder i it-systemer i 2017.

Over halvdelen fik risikovurderingen middel, mens over 4.000 blev regnet for høj risiko.

Andelen af kritiske sårbarheder faldt en smule fra 17 til 15 procent.

graf over sårbarheder

ISC lukker hul i BIND

Dansk

En sårbarhed i BIND kan få DNS-serveren til at gå ned. Det kræver dog, at serveren anvender DNSSEC (Domain Name System Security Extensions).

Fejlen har været i BIND siden år 2000.

ISC, der udvikler BIND, har fjernet sårbarheden med disse versioner:

  • 9 version 9.9.11-P1
  • 9 version 9.10.6-P1
  • 9 version 9.11.2-P1
  • 9 version 9.12.0rc2

Anbefaling

Opdater til en rettet version.

WordPress lukker et sikkerhedshul

Dansk

Udviklerne af WordPress har lukket et sikkerhedshul i biblioteket MediaElement 4.

Sårbarheden ligger i en Flash-baseret funktion i MediaElement. De fleste brugere kan klare sig uden, så derfor er den fjernet fra standardinstallationen af WordPress.

Hvis man har brug for den Flash-baserede udgave, kan man hente en opdateret version som et plugin.

Fejlen er rettet i WordPress 4.9.2.

Anbefaling

Opdater WordPress.

Angribere kan udnytte funktion i Word til at få fat i adgangskoder

Dansk

Sikkerhedsforskere har opdaget en ny angrebsmetode, der anvender funktionen subDoc i Microsoft Word. SubDoc gør det muligt at angive et underdokument, der skal indlæses i det aktuelle dokument.

Underdokumentet kan befinde sig på en anden computer. Sikkerhedsfirmaet Rhino Security Labs har opdaget, at når Word forsøger at hente underdokumentet, og det ligger på en password-beskyttet server, prøver Word at logge ind. Derved sendes brugerens navn og hashfunktionen af adgangskoden til serveren.

Sider

Abonnér på RSS - sårbarheder