sårbarheder

Bærbare fra HP har indbygget tastaturaflytning

Dansk

En sikkerhedsforsker har fundet en sårbarhed i driversoftwaren til Synaptics Touchpad på HP-notebooks. Sårbarheden gør det muligt at opsnappe tastetryk og skrive dem til en fil.

HP forklarer, at der er tale om programkode, som blev brugt til fejlfinding under udviklingsprocessen. Firmaet har udsendt opdateringer, der fjerner funktionen.

Funktionen er som udgangspunkt slået fra. Den kan slås til ved at ændre en nøgle i registreringsdatabasen.

Andre producenter af bærbare computere anvender også Synactics Touchpad. Det vides ikke, om de har tilsvarende sårbarheder.

Microsoft lukker alvorligt hul i antivirus

Dansk

En sårbarhed i Microsoft Malware Protection Engine giver angribere mulighed for at afvikle skadelig programkode. Fejlen rammer blandt andet Windows Defender.

Microsoft Malware Protection Engine scanner filer løbende for at beskytte mod skadelig software. En angriber kan udnytte sårbarheden ved at udforme en fil på en særlig måde. Når den scannes, aktiveres sårbarheden og angriberens programkode afvikles.

Google lukker 37 sikkerhedshuller i Chrome

Dansk

Google har udsendt version 63 af browseren Chrome. Den lukker 37 sikkerhedshuller, hvoraf et har fået firmaets højeste risikovurdering.

Den kritiske sårbarhed affødte en dusør på 10.500 dollars til sikkerhedsforsker Ned Williamson, der fandt den.

Fejlene er rettet i Chrome 63.0.3239.84 til Windows, macOS og Linux. Android-versionen er nået til version 63.0.3239.83.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

TeamViewer lukker sikkerhedshul

Dansk

Sårbarheden blev kendt tidligere på ugen. Den kan kun udnyttes, hvis der er oprettet en forbindelse mellem to computere. Herefter kan en af deltagerne få øgede privilegier.

Den person, der præsenterer, kan slå funktionen "switch sides" til og dermed kontrollere den anden parts computer. Det kræver normalt tilladelse fra den anden part.

Den person, der ser en præsentation, kan kontrollere den anden parts mus.

Fejlen er rettet i følgende versioner af TeamViewer til Windows og macOS:

Mange mailprogrammer tillader forfalsket afsender

Dansk

Sikkerhedsforsker Sabri Haddouche har opdaget en sårbarhed, han kalder Mailsploit. Angribere kan udnytte sårbarheden til at sende mails med forfalsket afsenderadresse – også selvom man bruger DMARC (Domain-based Message Authentication, Reporting & Conformance).

Sårbarheden ligger i mailprogrammernes behandling af RFC-1342. Det er en standard for, hvordan man angiver afsendernavne med andre tegnsæt end ASCII.

Google lukker 50 huller i Android

Dansk

Google har udsendt de månedlige sikkerhedsopdateringer til styresystemet Android. De er som sædvanlig opdelt i to pakker: En til Android generelt og en med rettelser til sårbarheder, der kun findes i bestemte hardwarekonfigurationer.

De generelle rettelser er samlet i 2017-12-01 security patch level. Det omfatter 19 sårbarheder, hvoraf seks er kritiske.

De hardwarespecifikke rettelser er samlet i 2017-12-05 security patch level. Det omfatter 31 sårbarheder, hvoraf fire er kritiske.

Udviklingsværktøjer til Android har flere sårbarheder

Dansk

Sikkerhedsforskere fra Check Point har fundet flere sårbarheder i de mest udbredte udviklingsmiljøer til Android: Android Studio, Intellij IDEA og Eclipse. Også værktøjer som APKTool og Cuckoo-Droid er sårbare.

Udviklerne af værktøjerne fik besked om problemerne i maj. De har siden udsendt opdaterede versioner.

Blandt sårbarhederne er en af typen XXE (XML External Entity) i APKTool. Angribere kan udnytte den til at få fat i filer på offerets pc. En tilsvarende sårbarhed findes i udviklingsmiljøerne.

Check Point kalder sårbarheden for ParseDroid.

Apple retter macOS, iOS, Safari, watchOS og tvOS

Dansk

Det sikkerhedshul der lod angribere logge ind på macOS som root uden password, er nu endeligt lukket. Det sker med macOS High Sierra 10.13.2, Security Update 2017-002 Sierra og Security Update 2017-005 El Capitan. Opdateringen lukker i alt 22 sikkerhedshuller i styresystemet til Mac-computere.

Styresystemet iOS til iPhone, iPad og iPod er opdateret til version 11.2. Den fjerner 14 sårbarheder.

Styresystemet til Apple Watch er opdateret til watchOS 4.2. Det lukker 10 sikkerhedshuller.

Apple TV-styresystemet tvOS er opdateret til version 11.2, der lukker 10 huller.

Cisco lukker seks sikkerhedshuller i WebEx

Dansk

Cisco advarer om seks sårbarheder i Cisco WebEx Network Recording Player, der bruges til at afspille optagelser af videomøder. Fejlene ligger i behandlingen af filer i formaterne Advanced Recording Format (ARF) og WebEx Recording Format (WRF).

En angriber kan udnytte sårbarhederne ved at udforme en fil på en bestemt måde. Hvis offeret afspiller filen, kan der blive afviklet skadelig programkode.

Produkterne Cisco WebEx Business Suite (WBS30, WBS 31 og WBS32), Cisco WebEx Meetings og Cisco WebEx Meetings Server er sårbare.

WordPress lukker fire huller

Dansk

Ifølge udviklerne af WordPress kan fire sikkerhedshuller bruges som led i et angreb, der kombinerer flere angrebsmuligheder. De er lukket med version 4.9.1.

En af sårbarhederne består i, at der ikke anvendes en hashfunktion til at beskytte nøglen "newbloguser". Det gør der nu.

Anbefaling

Opdater til WordPress 4.9.1.

Links

Sider

Abonnér på RSS - sårbarheder