sårbarheder

Konkurrence finder huller i Safari, Edge og Firefox

Ved konkurrencen Pwn2Own 2018 har sikkerhedsforskere udnyttet hidtil ukendte sårbarheder til at afvikle skadelig programkode.

Konkurrencedeltagerne knækkede sikkerheden i Apples Safari, Microsoft Edge og Firefox. Der var også et delvis vellykket angreb på Oracle Virtualbox.

Arrangøren, Trend Micro's Zero Day Initiative (ZDI), sender nu information om sårbarhederne videre til producenterne. De har 90 dage til at lukke hullerne, før informationen bliver offentliggjort.

I alt blev der uddelt præmier for 267.000 dollars ved konkurrencen.

Dansk

Microsoft dropper antiviruskrav til Windows 10-opdateringer

Da Microsoft begyndte at udsende rettelser til processorsårbarhederne Meltdown og Spectre, krævede firmaet, at antivirusprogrammer skulle ændre en indstilling i registreringsdatabasen. Det skulle ske for at markere, at antivirusprogrammet var i stand til at køre, når opdateringerne var installeret.

Det krav er nu fjernet for Windows 10, men gælder stadig for ældre versioner af Windows.

Dansk

Mozilla lukker 18 huller i Firefox

Mozilla har udsendt Firefox 59, der fjerner 18 sårbarheder fra browseren. En del af dem findes også i ESR-versionen, de er rettet i version ESR 52.7.

De to alvorligste sårbarheder er knyttet til behandlingen af arbejdslageret.

Foruden sikkerhedsrettelserne giver den nye version øget privatlivsbeskyttelse ved privat browsing. Den kan fjerne følsom information fra URL'er såsom brugernavne, mail-adresser og lignende.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

Dansk

AMD-processorer kan være sårbare

Et sikkerhedsfirma ved navn CTS Labs har offentliggjort oplysninger om 13 sårbarheder i AMD-processorer. Sårbarhederne skulle findes i EPYC, Ryzen, Ryzen Pro og Ryzen Mobile.

Angribere kan udnytte sårbarhederne, hvis de har mulighed for at afvikle kode med privilegier som administrator/root.

Nogle af sårbarhederne ligger angiveligt i AMD Secure Processor, som indgår i mange af AMD's produkter. Det skulle være muligt at installere skadelig software i Secure Processor, hvilket vil være meget vanskeligt at opdage.

Dansk

Adobe lukker huller i Flash, Dreamweaver og Connect

Månedens sikkerhedsopdateringer fra Adobe lukker to kritiske sikkerhedshuller i Flash Player. Sårbarhederne giver angribere mulighed for at afvikle skadelig programkode.

Fejlene er rettet i Flash Player 29.0.0.113 til Windows, Mac, Linux og Chrome OS.

Der er også en kritisk sårbarhed i Adobe Dreamweaver CC. Den er rettet i version 18.1.

En opdatering til Adobe Connect lukker to sikkerhedshuller, som Adobe betegner som vigtige. Den enge giver mulighed for at slette filer, den anden tillader upload af SWF-filer.

Fejlene er rettet i Adobe Connect 9.7.5.

Dansk

Microsoft lukker 74 sikkerhedshuller

Marts måneds opdateringer fra Microsoft lukker 14 sikkerhedshuller, der har fået firmaets højeste risikovurdering. 59 har fået den næsthøjeste.

Alle de kritiske sårbarheder findes i browsere eller deres scripting-systemer.

Blandt de mindre kritiske sårbarheder fremhæver sikkerhedsfirmaet Cisco Talos en, der kan vise sig mere alvorlig: En angriber kan udnytte en sårbarhed i Windows Shell til at afvikle programkode. Det kræver, at offeret narres til at åbne en fil, der fx sendes som e-mail eller ligger på en webside.

I alt er der rettelser til disse produkter:

Dansk

Hanwha Techwin lukker 10 huller i overvågningskameraer

Sikkerhedsforskere fra Kaspersky har fundet 13 sårbarheder i overvågningskameraet Hanwha SNH-V6410PN/PNW SmartCam fra firmaet Hanwha Techwin. Producenten har lukket 10 af sikkerhedshullerne og er i gang med at fjerne resten.

Sårbarhederne ligger blandt andet i det cloud-system, som kameraerne kommunikerer med. En angriber kan få adgang til alle kameraer ved at hacke sig ind på cloud-systemet.

Det er også muligt at afvikle programkode med privilegier som root.

Andre modeller af kameraer fra producenten kan også være sårbare.

Dansk

Google lukker 11 kritiske huller i Android

Google har udsendt marts måneds sikkerhedsopdateringer til Android. De lukker 37 sikkerhedshuller i operativsystemet til smartphones og tablet-computere.

11 sårbarheder har fået Googles højeste risikovurdering. De kritiske sårbarheder findes i Media Framework og System. Inden for de hardwarespecifikke sårbarheder er der tre kritiske inden for Qualcomm-komponenter.

Fejlene er rettet med 2018-03-01 security patch level og 2018-03-05 security patch level.

Anbefaling

Afvent opdateringer fra producenten af jeres smartphones og tablets.

Dansk

Google lukker 45 huller i Chrome

Mange af de 45 sårbarheder, som Google har fjernet i version 65 af Chrome, er fundet af eksterne sikkerhedsforskere. Ingen af dem har fået firmaets højeste risikovurdering, men ni har fået den næsthøjeste.

To af de alvorlige sårbarheder affødte en dusør på 5.000 dollars for hver til den sikkerhedsforsker, der fandt dem.

De alvorlige sårbarheder findes blandt andet i Flash, Blink, V8 og Skia.

Fejlene er rettet i Chrome 65.0.3325.146 til Windows, macOS og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Dansk

Microsoft retter USB-fejl efter sikkerhedsopdatering

Microsoft har udsendt en opdatering til en problematisk opdatering. Opdateringen KB4090913 skal løse de problemer, nogle brugere har haft, efter de installerede KB4074588, som blev udsendt den 13. februar.

Både eksterne USB-enheder og nogle indbyggede enheder såsom tastatur, webkamera eller mus holdt op med at virke, efter opdateringen blev installeret.

Ifølge Microsoft løser den nye opdatering de problemer, den gamle opdatering gav.

Problemerne er begrænset til Windows 10 Fall Creators Update, der også er kendt som Windows 10 version 1709.

Dansk

Sider

Abonnér på RSS - sårbarheder