sårbarheder

Den seneste samling sikkerhedsopdateringer fra Oracle lukker 254 sikkerhedshuller i blandt andet Oracle Database Server, Fusion Middleware, E-Business Suite, PeopleSoft, Oracle Industry Applications (Construction, Financial Services, Hospitality, Retail, Utilities), Java, MySQL og Oracle Systems Products Suite.

Der er 14 rettelser til Java SE. 12 af sårbarhederne kan udnyttes over nettet af en angriber, der ikke behøver oplyse brugernavn og password. Den alvorligste sårbarhed har en CVSS-score (Common Vulnerability Scoring System) på 8,3.

Netværksfirmaet Akamai har opdaget en metode, som it-kriminelle anvender til at udnytte andres routere til proxyer. De kan bruge proxyerne til at udsende spam eller andre illegale aktiviteter.

De kriminelle udnytter udbredte sårbarheder i implementeringer af UPnP (Universal Plug and Play). UPnP-tjenester bør som udgangspunkt kun kunne ses fra lokalnetsiden af routeren. Men nogle routere giver adgang til dem fra internetsiden.

En samling sårbarheder i SAP Business Client har fået firmaets højeste risikovurdering, "Hot News", med en CVSS-score (Common Vulnerability Scoring System) på 9,8.

Angribere kan udnytte sårbarhederne til at overtage kontrollen med applikationen, sætte systemet ud af drift eller afvikle kommandoer.

SAP har lukket sikkerhedshullet sammen med 15 andre i firmaets april-rettelser.

Fire af rettelserne har fået den næsthøjeste risikovurdering. Sårbarhederne findes i SAP Business One, Visual Composer og Business Objects.

Med en kombination af software på operativsystemniveau og en mikrokode-opdatering kan brugere af AMD-baserede systemer beskytte sig mod Spectre-sårbarheden.

Spectre og Meltdown er sårbarheder på processorniveau, der udnytter processorernes metoder til at forudsige kommende instruktioner.

AMD har udsendt mikrokodeopdateringer til firmaets partnere. De fjerner muligheden for angreb af typen Spectre variant 2. Variant 1 er klaret som en ren softwareløsning. AMD's processorer er ikke sårbare over for Meltdown.

24 ud af de 65 sårbarheder i april-rettelserne fra Microsoft er kritiske. De findes blandt andet i Internet Explorer og scripting-systemet Chakra. En af de kritiske sårbarheder findes i Microsoft Malware Protection Engine, rettelsen til den blev udsendt allerede den 3. april.

Blandt de øvrige kritiske sårbarheder er en cross-site scripting-sårbarhed i Sharepoint. Den var kendt, før rettelsen blev udsendt.

Fem af de kritiske sårbarheder i Windows ligger i Windows Font Library, der håndterer skrifttyper.

Der er sikkerhedsopdateringer til disse produkter:

April måneds sikkerhedsrettelser fra Adobe fjerner sårbarheder i Flash Player, ColdFusion, Adobe PhoneGap Push Plugin, Digital Editions, InDesign og Experience Manager.

Blandt de alvorligste sårbarheder er tre i Flash Player. De giver angribere mulighed for at afvikle skadelig programkode.

Fejlene er rettet i Flash Player 29.0.0.140.

Der er fundet fem sårbarheder i ColdFusion, heraf to kritiske. De er rettet med Update 6 til 2016-versionen og Update 14 til ColdFusion 11.

April måneds sikkerhedsopdateringer til Android er som vanligt opdelt i to dele: En med sårbarheder i Android generelt og en med sårbarheder, der kun findes i specifikke konfigurationer.

Blandt de generelle sårbarheder er der syv kritiske. De findes i Media framework og System.

De øvrige 12 generelle sårbarheder har alle fået den næsthøjeste risikovurdering.

Blandt de hardwarespecifikke sårbarheder er der kritiske sikkerhedshuller i komponenter fra Broadcom og Qualcomm.

Opdateringerne blev offentliggjort den 2. april.

Intel har tidligere udsendt opdateringer af firmware og mikrokode til en række processorer. Firmaet oplyser nu, at nogle processorer ikke vil blive opdateret. Det kan skyldes tekniske hindringer for at løse problemerne, eller at risikoen for angreb er lille.

Blandt de mikroarkitekturer, der ikke bliver opdateret, er Bloomfield (Xeon), Clarksfield, Gulftown, Harpertown (Xeon), Jasper Forest, Penryn/QC, SoFIA 3GR, Wolfdale (Xeon) og Yorkfield (Xeon).

Anbefaling

Foretag en risikovurdering for at afgøre, om I skal udskifte de sårbare processorer.

Microsoft har lukket et kritisk sikkerhedshul i Microsoft Malware Protection Engine, der indgår i antivirusprodukter som Windows Defender, Intune Endpoint Protection, Forefront Endpoint Protection 2010, Security Essentials og Exchange Server 2013 og 2016.

Sårbarheden ligger i behandlingen af filer komprimeret med RAR-algoritmen.

Microsoft har benytte kildekode fra open source-projektet Unrar, men har ændret heltal med fortegn til heltal uden fortegn. Det medfører problemer i håndteringen af arbejdslageret, som en angriber kan udnytte.

Intel Remote Keyboard er en app til Android og iOS, der lader brugere styre en Intel NUC eller Compute Stick fra deres smartphone. Sikkerhedsforskere har fundet tre sårbarheder i alle versioner af appen.

Den ene sårbarhed er kritisk med en CVSS-score (Common Vulnerability Scoring System) på 9. De to øvrige udgør en høj risiko.

I stedet for at rette fejlene trækker Intel produktet tilbage.

Anbefaling

Find en anden app som erstatning for Intel Remote Keyboard.