sårbarheder

Cisco lukker alvorligt hul i IOS og IOS XE

Dansk

Sårbarheden blev kendt, da en stribe angrebsværktøjer fra CIA blev lækket tidligere på året. Dengang offentliggjorde Cisco en liste over berørte produkter.

Nu er listen opdateret med sikkerhedsrettelser, der lukker hullet.

318 produkter er ramt, heriblandt en lang række Catalyst-switche.

Sårbarheden ligger i behandlingen af Cisco Cluster Management Protocol (CMP).

Anbefaling

Opdater IOS eller IOS XE.

Veritas lukker alvorlige huller i NetBackup

Dansk

Sårbarhederne giver eksterne angribere mulighed for at afvikle kommandoer på NetBackup-serveren.

To sikkerhedsforskere fra Google opdagede sårbarhederne. De understreger, at de har foretaget en black box-test og altså ikke har haft adgang til kildekoden. Derfor er det sandsynligt, at der er flere sårbarheder i produktet.

De skriver, at NetBackups arkitektur har flere sikkerhedsproblemer. Fx er der ingen kryptering eller autentifikation af kommunikationen mellem klienter og servere.

Adobe lukker syv alvorlige huller i Flash

Dansk

Alle sårbarhederne skyldes problemer med håndteringen af arbejdslageret. De giver angribere mulighed for at afvikle skadelig programkode.

En angriber kan udnytte sårbarhederne, hvis offeret besøger et websted, der indeholder Flash-elementer.

Fejlene er rettet i Flash Player 25.0.0.171.

Anbefaling

Opdater Flash Player eller afinstaller programmet.

Microsoft lukker 57 sikkerhedshuller

Dansk

Rettelserne lukker huller i Internet Explorer, Edge, Windows, Office, Office Services and Web Apps, .NET Framework og Adobe Flash Player. Tre af sårbarhederne udnyttes aktivt i angreb.

Sårbarhedsfirmaet Qualys anbefaler organisationer at prioritere rettelsen til en sårbarhed i Office højest. En angriber kan udnytte den ved at narre offeret til at åbne et dokument med et indlejret billede. Angribere benytter metoden til aktive angreb, der kan give dem fuld kontrol over den sårbare computer.

Cisco lukker sikkerhedshuller i trådløst udstyr

Dansk

Sårbarheden i CVR100W Wireless-N VPN Router kan udnyttes af en angriber på samme lokalnet som enheden. Angriberen kan uden at være autentificeret afvikle kode med privilegier som root. Det er også muligt at sætte enheden ud af drift.

Fejlen er rettet med Firmware Release 1.0.1.22.

En anden sårbarhed findes i Cisco Aironet 1800, 2800 og 3800 Series Access Points, der kører enten Lightweight Access Point eller Mobility Express-image. Kun version 8.3.102.0 af softwaren er sårbar.

Microsoft lukker hul i antivirus

Dansk

Sårbarheden ligger i Microsoft Malware Protection Engine, som scanner alle filer, når de bliver tilgået. Dermed er det let for en angriber at få den til at scanne en fil.

Sikkerhedsforskere fra Google har opdaget sårbarheden, der ligger i behandlingen af JavaScript. Den gør det muligt at afvikle skadelig programkode.

Microsoft har lukket sikkerhedshullet. Microsoft Malware Protection Engine opdateres automatisk, så de fleste brugere skal ikke gøre noget for at installere opdateringen.

Fejlen er rettet i version 1.1.13704.0 af Microsoft Malware Protection Engine.

Google lukker sikkerhedshuller i Android

Dansk

Månedens opdateringer til Android lukker en lang række sikkerhedshuller. Som vanligt er de opdelt i to typer: Generelle sårbarheder og sårbarheder, der kun findes i specifikke kombinationer af hardware og software.

Blandt de generelle sårbarheder har seks fået Googles højeste risikovurdering. De findes alle i komponenten MediaServer, som også tidligere har haft en række kritiske sårbarheder.

En angriber kan udnytte sårbarhederne ved at narre offeret til at åbne en multimediafil. Derved kan der afvikles skadelig programkode på enheden.

Xen lukker tre alvorlige sikkerhedshuller

Dansk

Sikkerhedsforsker Jann Horn fra Googles Project Zero har opdaget de tre sårbarheder. De findes udelukkende i x86-baserede systemer. To af dem findes kun i 64-bit systemer, der anvender paravirtualisering (PV).

Angribere kan udnytte sårbarhederne til at bryde ud af den virtuelle maskine og tilgå de øvrige arbejdslager.

Fejlene er rettet med tre sikkerhedsrettelser (patches), en til hver af sårbarhederne.

Google lukker hul i Chrome

Dansk

Sikkerhedshullet har fået Googles næsthøjeste risikovurdering. Det består af en race condition i WebRTC.

Sårbarheden affødte en dusør på 500 dollars til den sikkerhedsforsker, der opdagede den.

Fejlen er rettet i Chrome 58.0.3029.96 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Links

Alvorligt hul i Intel-chipsæt står åbent

Dansk

Sårbarheden findes i Intel Active Management Technology, Small Business Technology og Standard Manageability. Det er funktioner, der findes i pc'er til det professionelle marked, men ifølge Intel ikke i pc'er til forbrugermarkedet.

Teknologierne gør det muligt at styre pc'en uden at involvere styresystemet. De kører på en særlig processor uden for den egentlige CPU i pc'en.

Sider

Abonnér på RSS - sårbarheder