sårbarheder

Outlook 2016 sendte krypterede e-mails uden kryptering

Dansk

En af oktober måneds sikkerhedsrettelser fra Microsoft lukker et hul i Outlook 2016. Sårbarheden medfører, at mails der skulle have været krypteret er blevet sendt uden kryptering.

Fejlen findes kun ved mails, der sendes uden formatering. Mails med HTML-formatering er ikke berørt.

Sårbarheden medfører, at mails der er sat til at blive krypteret med S/MIME, ganske vist bliver krypteret. Men sammen med den krypterede mail sender Outlook også en ukrypteret version.

SAP lukker 30 sikkerhedshuller

Dansk

Oktober måneds sikkerhedsrettelser fra SAP lukker 30 sikkerhedshuller. Ingen af dem har fået firmaets højeste risikovurdering, fem har fået den næsthøjeste.

Den alvorligste sårbarhed findes i SAP NetWeaver AS Java Web Container, den har fået en CVSS-score (Common Vulnerability Scoring System) på 7,7.

De øvrige sårbarheder findes i blandt andet SAP Standalone Enqueue Server, SAP Mobile Platform, SAP ERP Funds Management Account Assignments og Adobe Document Services.

Anbefaling

Test og installer sikkerhedsopdateringerne fra SAP.

Keywords: 

To alvorlige huller i Simple DirectMedia Layer er lukket

Dansk

Sikkerhedsforskere fra Cisco Talos har fundet to kritiske sårbarheder i Simple DirectMedia Layer (SDL), et udviklingsbibliotek der virker på tværs af platforme. SDL bruges typisk til at udvikle programmer til videoafspilning, emulatorer og spil.

Den ene sårbarhed ligger i behandlingen af XCF-filer, der er standardformatet i programmet GIMP. Den anden ligger i oprettelsen af RGB-lag.

Angribere kan udnytte begge sårbarheder til at afvikle skadelig programkode.

Microsoft lukker 63 sikkerhedshuller

Dansk

Oktober måneds sikkerhedsrettelser fra Microsoft lukker 63 sikkerhedshuller i produkterne Internet Explorer, Edge, Windows, Office, Skype og ChakraCore.

Sårbarhedsfirmaet Qualys fremhæver sårbarheden CVE-2017-11826 i Office som en af de alvorligste. Hvis en angriber kan narre sit offer til at åbne et Office-dokument, kan der afvikles skadelig programkode. Angribere udnytter metoden til aktive angreb.

Den sårbarhed har Microsoft givet firmaets næsthøjeste risikovurdering. Den højeste vurdering er givet til 28 af sårbarhederne.

HP Enterprise lukker alvorlige huller i Intelligent Management Center

Dansk

Hewlett Packard Enterprise har lukket otte sikkerhedshuller i HPE Intelligent Management Center (iMC) PLAT. Syv af dem er rapporteret via Zero Day Initiative.

De alvorligste sårbarheder giver angribere mulighed for at afvikle skadelig programkode på computeren.

Fejlene er rettet i IMC PLAT 7.3 E0506P03.

Anbefaling

Opdater til IMC PLAT 7.3 E0506P03.

Apple lukker to alvorlige huller i macOS

Dansk

Apple har udsendt macOS High Sierra 10.13 Supplemental Update. Den ekstraordinære opdatering skyldes, at en sikkerhedsforsker har fundet et alvorligt hul i beskyttelsen af krypterede APFS-diske.

Sårbarheden gør det muligt at se det password, der skal indtastes for at få adgang til den krypterede disk.

Opdateringen lukker endvidere et sikkerhedshul, der lader skadelige applikationer få fat i passwords lagret i keychain.

Når man henter macOS High Sierra 10.13, er den udstyret med sikkerhedsopdateringen.

Apache Tomcat lukker sikkerhedshul

Dansk

En sårbarhed i Apache Tomcat giver angribere mulighed for at uploade en JSP-fil til serveren. Derefter kan angriberen køre JSP-filen på serveren.

Sårbarheden kræver, at HTTP PUT er slået til.

Fejlen er rettet i følgende versioner:

  • Apache Tomcat 9.0.1
  • Apache Tomcat 8.5.23
  • Apache Tomcat 8.0.47
  • Apache Tomcat 7.0.82

Anbefaling

Opdater til en rettet version.

Google lukker 14 sikkerhedshuller i Android

Dansk

Sikkerhedsopdateringerne er opdelt i to afdelinger: En med rettelser til elementer, der findes i de fleste Android-varianter, og en med rettelser til specifikke hardware-versioner.

Tre af de generelle sårbarheder har fået Googles højeste risikovurdering. De findes alle i Media framework, der også tidligere har haft en række alvorlige sårbarheder. Angribere kan udnytte dem til at afvikle skadelige programmer på enheden.

To af de hardwarespecifikke sårbarheder er kritiske. De findes i enheder med Qualcomm-komponenter.

Tre plugins til WordPress lukker alvorlige huller

Dansk

Sikkerhedsfirmaet Wordfence opdagede sårbarhederne, da det undersøgte firmaer, hvis WordPress-installationer blev hacket. Det viste sig, at alle de tre plugins havde en sårbarhed, der lod en angriber placere en fil på dem.

Dermed kunne hackeren udarbejde en fil, der gav fuld adgang til webstedet, og placere den et sted, hvor den kunne afvikles.

Sårbarheden er fjernet i følgende versioner:

Sider

Abonnér på RSS - sårbarheder