sårbarheder

Drupal opdaterer

Drupal har frigivet sikkerhedsopdateringer, der adresserer sårbarheder i Drupal 8.9, 9.1 og 9.2. En angriber kan potentielt udnytte nogle af sårbarhederne til overtage kontrollen med et system. Der er i al fem sårbarheder, som dels kan udnyttes ved cross-site request forgery (CSRF) eller 'access bypass'.

Dansk

Sårbarhed i Windows/Office 365 under udnyttelse

Microsoft har tirsdag meddelt, at en 'remote code execution'-sårbarhed pt. udnyttes i målrettede angreb mod Office 365 og Office 2019 på Windows 10. Det skriver Bleeping Computer og en række andre medier, ligesom CISA har udsendt en meddelelse om det.

Fejlen findes i MSHTML, browserens gengivelsesmotor, der også bruges af Microsoft Office -dokumenter. Sårbarheden har fået id’et CVE-2021-40444 og den påvirker Windows Server 2008 til 2019 og Windows 8.1 til og med 10. Sårbarheden har fået scoren 8,8 ud af de maksimale 10 på CVSS-skalaen.

Dansk

Netgear retter alvorlige sikkerhedsfejl i smartswitches

Netgear har udsendt firmwareopdateringer til mange af sine ’smartswitches’, der bruges på virksomhedsnetværk. Det skriver Bleeping Computer.

Netgear har rettet tre sikkerhedsfejl, der påvirker 20 Netgear-produkter, hovedsagelig smartswitches. Sårbarhederne har fået en karakter på mellem 7,4 og 8,8 på CVSS-skalaen. Det fremgår af en advisory fra Netgear, at nogle af switchene har cloud management-funktioner, der gør det muligt at konfigurere og overvåge dem over internettet.

Dansk
Keywords: 

Cisco retter NFVIS-sårbarhed

Cisco udsender patches til kritisk ’authentification bypass’-sårbarhed i Enterprise NFV Infrastructure Software (NFVIS). Patchet er kritisk, eftersom der allerede findes en proof-of-concept exploit-kode tilgængelig. Det skriver Bleeping Computer og Security Week, ligesom CISA også er ude med en meddelelse.

Sårbarheden muliggør, at et ekstern angriber kan komme forbi godkendelsenprocessen og logge ind som administrator. Dermed i praksis overtage kontrollen med et system. 

Dansk

Chrome får sikkerhedsopdatering

Google har udsendt en ny version, nr. 93.0.4577.63 til Windows, Mac og Linux på gaden. Det fremgår af en meddelelse fra CISA. Den nye version adresserer sårbarheder, som en angriber kunne udnytte til at tage kontrol over et berørt system.

Google skriver på sin Chrome-release blog, at den nye version indeholder en række rettelser og forbedringer. I alt er der tale om 27 sikkerhedsrettelser, der bl.a. er fundet af eksterne researchere. Disse har fået dusører på op til 20.000 dollars for deres fund.

Dansk

Microsoft retter syv 0-dagssårbarheder ud af 50 fejl på Patch Tuesday

Microsoft har frigivet 50 sikkerhedsrettelser i denne måned. Der er tale om rettelser til løsning af kritiske problemer, herunder seks nul-dage, der aktivt udnyttes ’in the wild’. Det skriver Zdnet og en række andre medier.

Blandt fejlene er der remote code execution-fejl, denial-of-service-problemer, forhøjelse af privilegier og problemer med ’memory corruption’. Fem af sårbarhederne betragtes som kritiske, og 45 anses for vigtige.

0-dags sårbarhederne som aktivt udnyttes har følgende CVE-numre:

Dansk

Liste: De 25 mest udbredte software-fejl

Top 25 Most Dangerous Software Errors er en liste med de 25 mest udbredte og farligste software-fejl. Opgørelsen er udarbejdet af non-profit organisationen MITRE/Common Weakness Enumeration.

Den udpeger de mest udbredte svagheder, der kan føre til kritiske sårbarheder i software.

Disse svagheder er ofte lette at finde og udnytte. Konsekvenserne kan potentielt være, at en angriber overtager kontrollen med sårbare systemer, manipulere data eller sætter softwaren ude af stand til at fungere efter hensigten.

Dansk

Rapport gør status over sårbarheder i årets første halvdel

Sikkerhedsfirmaet Risk Based Security har udgivet en såkaldt Mid-Year-rapport om sårbarheder.

Her har virksomheden gjort status og opsummeret den første halvdel af 2019, hvor 11.092 nye sårbarheder er indgået i firmaets rapportering.

I analysen kan man finde en række nøgletal, der blandt andet fortæller, at 54,5 procent af alle sårbarheder er web-relaterede, at 34 procent har ’public exploits’ og at 53 procent kan udnyttes via fjernadgang.

Dansk

Disse typer sårbarheder blev registreret i 2018

2018 blev igen et rekordår med hensyn til det registrerede antal af sårbarheder.

USA’s National Vulnerability Database (NVD) registrerede således 16.555 sårbarheder i 2018, hvilket er godt 2.000 flere end i 2017.

I den nye trendrapport har vi blandt andet set på hvilke typer sårbarheder, der har været i 2018.

Fordelingen af de forskellige typer sårbarheder i 2018 kan ses i nedenstående graf.

Dansk

Sider

Abonnér på RSS - sårbarheder