sårbarheder

Apple retter en række produkter

Dansk

Den 29. marts lukkede Apple en række sikkerhedshuller i firmaets produkter.

MacOS High Sierra 10.13.4, Security Update 2018-002 Sierra og Security Update 2018-002 El Capitan lukker 35 sikkerhedshuller.

Styresystemet iOS 11.3 lukker over 40 sikkerhedshuller.

ICloud for Windows 7.4 og iTunes 12.7.4 for Windows lukker hver 20 sikkerhedshuller, heraf 19 i WebKit.

Safari 11.1 fjerner 23 sårbarheder.

WatchOS 4.3 lukker 22 sikkerhedshuller.

TvOS 11.3 fjerner 28 sårbarheder.

Drupal lukker kritisk hul

Dansk

Udviklerne af CMS'et Drupal har lukket et kritisk sikkerhedshul. En angriber kan afvikle skadelig programkode på et sårbart websted uden at angive brugernavn og password.

Fejlen er rettet i Drupal 7.58 og Drupal 8.5.1, der blev udsendt den 28. marts.

Endvidere har Drupal 6 Long Term Support-projektet udviklet rettelser til version 6.

Der kendes endnu ikke til angreb, der udnytter sårbarheden.

Anbefaling

Opdater til en rettet version.

Microsoft retter rettelse til Meltdown

Dansk

Sikkerhedsforsker Ulf Frisk har opdaget, at en af Microsofts sikkerhedsrettelser til Meltdown-sårbarheden indførte en ny sårbarhed i Windows. Fejlen findes i systemer, der er opdateret med rettelserne fra januar og februar.

Da det så ud til, at fejlen var rettet i marts måneds rettelser, udsendte Ulf Frisk efter aftale med Microsoft en beskrivelse af den den 27. marts. Men det viste sig, at rettelsen ikke var effektiv.

Den 29. marts udsendte Microsoft derfor en ny version af rettelsen, der lukker sikkerhedshullet.

Geutebruck lukker sikkerhedshuller i overvågningskameraer

Dansk

Sikkerhedsforskere fra firmaerne Randorisec og Greenlock har opdaget flere alvorlige sårbarheder i overvågningskameraer fra firmaet Geutebruck. En angriber kan udnytte fejlene til at afvikle programkode, se passwords til kameraerne, tilføje brugere og få adgang til en database.

Sårbarhederne findes i følgende modeller:

  • G-Cam/EFD-2250 firmware version 1.12.0.4
  • Topline TopFD-2125 firmware version 3.15.1

Fejlen i G-Cam er rettet med firmwareversion 1.12.0.19. Det ser ikke ud til, at Topline-firmwaren er opdateret.

Drupal forbereder at lukke meget alvorligt hul

Dansk

Mellem klokken 20 og 21:30 onsdag den 28. marts udsender Drupal en opdatering, der fjerner en ekstremt kritisk sårbarhed i CMS'et. Der kommer rettelser til Drupal 7.x, 8.3.x, 8.4.x og 8.5.x.

Drupal er holdt op med at vedligeholde version 8.3 og 8.4. Men fordi sårbarheden er så alvorlig, kommer der alligevel også opdateringer til disse versioner.

Udviklerne forudser, at angrebsprogrammer til at udnytte sårbarheden kan blive udviklet i løbet af timer eller dage. De anbefaler derfor, at brugere af Drupal opdaterer hurtigst muligt.

ManageEngine lukker alvorlige sikkerhedshuller

Dansk

Sikkerhedsforskere fra firmaet Digital Defense har opdaget seks hidtil ukendte sårbarheder i ManageEngine. Det er et sæt værktøjer til system management, som især anvendes i større it-installationer.

Nogle af sårbarhederne lader en angriber uploade filer og afvikle skadelig programkode. Andre giver mulighed for SQL-indsætning eller adgang til API-nøgler.

Sårbarhederne er:

AMD gør klar til at lukke processorhuller

Dansk

AMD har analyseret de oplysninger om sårbarheder, som sikkerhedsfirmaet CTS Labs offentliggjorde tidligere på måneden. Analysen viser, at sårbarhederne er reelle, og firmaet arbejder nu på at lukke hullerne ved at opdatere firmwaren.

Opdateringerne ventes udsendt i de kommende uger.

Nogle af sårbarhederne findes i AMD Platform Secure Processor, andre ligger i Promontory-chipsættet.

SAP lukker 27 sikkerhedshuller

Dansk

Ingen af marts måneds sikkerhedsrettelser fra SAP lukker kritiske huller, men flere af sårbarhederne udgør en høj risiko.

Det gælder blandt andet sårbarheder i SAP Internet Graphics Server, der har fået en CVSS-score (Common Vulnerability Scoring System) på 8,8 ud af 10.

De fleste sårbarheder er af typen, hvor der mangler en kontrol af autorisation. Dem er der seks af, mens fem handler om afsløring af fortrolig information.

Der er fire sårbarheder af typen cross-site scripting og tre tilfælde af SQL-indsætning.

MikroTik lukker alvorligt hul i RouterOS

Dansk

Sikkerhedsfirmaet Core Security har fundet en sårbarhed i RouterOS fra det lettiske firma MikroTik. RouterOS er et Linux-baseret styresystem til routere, som anvendes i produkter fra MikroTik selv og mange andre virksomheder.

En udefrakommende angriber kan udnytte sårbarheden til at afvikle skadelig programkode på routeren.

Sikkerhedshullet ligger i behandlingen af SMB (Server Message Block). Det aktiveres, før brugeren bliver autentificeret, så en angriber har ikke brug for at kende et brugernavn og password for at udnytte det.

Konkurrence finder huller i Safari, Edge og Firefox

Dansk

Ved konkurrencen Pwn2Own 2018 har sikkerhedsforskere udnyttet hidtil ukendte sårbarheder til at afvikle skadelig programkode.

Konkurrencedeltagerne knækkede sikkerheden i Apples Safari, Microsoft Edge og Firefox. Der var også et delvis vellykket angreb på Oracle Virtualbox.

Arrangøren, Trend Micro's Zero Day Initiative (ZDI), sender nu information om sårbarhederne videre til producenterne. De har 90 dage til at lukke hullerne, før informationen bliver offentliggjort.

I alt blev der uddelt præmier for 267.000 dollars ved konkurrencen.

Sider

Abonnér på RSS - sårbarheder