Chrome

Google lukker kritisk hul i Chrome

Dansk

Chrome til Windows, Macintosh og Linux er opdateret til version 62.0.3202.89. Den lukker to sikkerhedshuller, hvoraf det ene er kritisk.

Den alvorlige sårbarhed er et bufferoverløb i QUIC (Quick UDP Internet Connections). Sikkerhedsforsker Ned Williamson rapporterede det til Google den 24. oktober. Google har endnu ikke afgjort, hvor stor en dusør han får for opdagelsen.

Den anden sårbarhed har fået Googles næsthøjeste risikovurdering. Den ligger i V8.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Konkurrence finder sårbarheder i Samsung, Apple og Huawei

Dansk

Konkurrencen Mobile Pwn2Own foregik i denne uge i Tokyo, Japan. Sikkerhedsforskere kappedes om at knække sikkerheden på smartphones.

Flere af deltagerne havde held med at afvikle skadelig programkode på enhederne.

Et hold fra firmaet 360 Security fik Samsung Internet Browser på en Samsung Galaxy S8 til at køre kode. Via en sårbarhed i en Samsung-app fik de den skadelige kode til at køre videre efter en genstart.

Tencent Keen Security Lab udnyttede fire sårbarheder til at afvikle kode og få øgede privilegier på en iPhone 7 med den nyeste version af iOS.

Google lukker 35 sikkerhedshuller i Chrome

Dansk

Ingen af de 35 sårbarheder, som Google har rettet med version 62 af Chrome, har fået firmaets højeste risikovurdering. Otte har fået den næsthøjeste.

Den alvorligste sårbarhed findes i behandlingen af MHTML, den næstalvorligste i Skia.

Endvidere indfører Google med denne udgave af browseren øgede advarsler, når man besøger websteder uden kryptering. Hvis brugeren indtaster data, vises siden som "Ikke sikker". Bruger man inkognito-funktionen, vises sidens om "Ikke sikker", uanset om man indtaster data.

Google lukker tre huller i Chrome

Dansk

I sidste uge lukkede Google tre sikkerhedshuller i Chrome. To af dem har fået firmaets næsthøjeste risikovurdering.

Begge de to sårbarheder ligger i V8. De affødte henholdsvis 7.500 dollars og 3.000 dollars i dusør til de sikkerhedsforskere, der opdagede dem.

Fejlene er rettet i version 61.0.3163.100 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Sikkerhedshul i Edge står åbent

Dansk

Sikkerhedsforsker Nicolai Grødum fra Cisco har opdaget en sårbarhed i flere browseres implementering af CSP (Content Security Policy). Formålet med CSP er at sikre, at scripts kun må afvikles fra godkendte kilder.

Sårbarheden gør, at det i nogle tilfælde er muligt at omgå CSP-reglerne. Dermed kan angribere få adgang til fortrolig information.

Google lukkede sikkerhedshullet med version 57.0.2987.98 af Chrome.

Apple lukkede det med iOS 10.3 og Safari 10.1.

Angribere overtager otte Chrome-udvidelser

Dansk

En af udvidelserne er CopyFish, som DKCERT tidligere har omtalt. Gennem et phishing-angreb fik en angriber fat i login-data for udviklerkontoen og overtog kontrollen med udvidelsen. Derefter blev der udsendt en version, som viste uønskede reklamer hos brugerne.

Sikkerhedsfirmaet Proofpoint har opdaget flere andre udvidelser, som hackere på samme måde har overtaget:

Google lukker 40 huller i Chrome

Dansk

Ingen af sårbarhederne har fået Googles højeste risikovurdering, men ni har fået den næsthøjeste.

En af sårbarhederne affødte en dusør på 10.000 dollars til sikkerhedsforskeren, der fandt den. Sårbarheden ligger i IndexedDB.

Andre sårbarheder er spredt ud på forskellige funktioner i Chrome, herunder PPAPI, Blink, PDFium og Skia.

Anbefaling

Genstart Chrome for at aktivere opdateringen til version 60.

Google lukker 30 sikkerhedshuller i Chrome

Dansk

Google har opdateret browseren Chrome til version 59. Ingen af de 30 sårbarheder, som den fjerner har fået firmaets højeste risikovurdering.

Fem af sikkerhedshullerne har fået den næsthøjeste risikovurdering.

En fejl i V8 affødte en dusør på 7.500 dollars til den sikkerhedsforsker, der opdagede den.

Fejlene er rettet i Chrome 59.0.3071.86 til Windows, Mac og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Fejl i Chrome giver mulighed for at stjæle passwords

Dansk

Sårbarheden ligger i Chromes behandling af filer af typen SCF (Shell Command File). Hvis angriberen kan narre offeret til at klikke på et link til en SCF-fil, gemmes den i mappen Downloads.

Når brugeren åbner mappen, forsøger Windows at hente et ikon til filen. I filen står der angivet en netværksadresse på ikonet. Windows forbinder sig til adressen og oplyser brugernavn og hashværdi af passwordet.

Sider

Abonnér på RSS - Chrome