sårbarheder

Intel har advaret om, at der er fejl i firmaets tidligere udsendte firmwareopdatering til beskyttelse mod processorsårbarheden Spectre. Opdateringen kan få systemer til at genstarte eller på anden måde opføre sig uønsket. Det kan føre til tab af data.

Microsoft udsendte i sidste uge en opdatering, der forhindrer problemer på systemer, hvor firmwareopdateringen er installeret.

Opdateringen installeres ikke automatisk. Man kan hente den, hvis man har installeret firmwareopdateringen og oplever problemer.

Mozilla har lukket et alvorligt sikkerhedshul i Firefox. Sårbarheden har fået en CVSS-score (Common Vulnerability Scoring System) på 8,8 ud af 10. Udviklerne betegner den som kritisk.

Sårbarheden lader en webside afvikle kode, der er beregnet for elementer i browserens brugergrænseflade. Ved at indlejre skadelig HTML-kode i denne kode kan en angriber køre kommandoer på computeren.

Firefox 56, 57 og 58 er sårbare. Fejlen er rettet i Firefox 58.0.1.

Firefox til Android er ikke sårbar.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

Cisco har lukket en sårbarhed i SSL-VPN-funktionen i Cisco Adaptive Security Appliance (ASA). Sårbarheden har fået en CVSS-score (Common Vulnerability Scoring System) på de maksimale 10.

En angriber kan udnytte sårbarheden ude fra nettet uden at angive brugernavn og password.

Produkter i ASA-serien og Firepower er sårbare, hvis funktionen Webvpn er slået til.

Fejlene er rettet i følgende ASA-versioner:

Firmwaren AsusWRT til flere routere fra Asus har to sårbarheder. Den ene giver uvedkommende mulighed for at uploade data til routeren. Den anden sårbarhed kan udnytte den første til at ændre på routerens konfiguration.

Herved kan en angriber få fuld kontrol over routeren.

Asus har lukket hullet med AsusWRT 3.0.0.4.384_10007.

Berørte modeller er:

Google har udsendt Chrome 64, der fjerner 53 sårbarheder fra browseren. Derudover skulle der også være indbygget metoder til at forhindre, at processorsårbarheden Spectre kan udnyttes.

Ingen af de 53 sårbarheder har fået Googles højeste risikovurdering. Tre af dem har fået den næsthøjeste. Den alvorligste sårbarhed findes i PDFium, den affødte en dusør på 3.000 dollars til sikkerhedsforskeren, der fandt den.

Fejlene er rettet i Chrome 64.0.3282.119 til Windows, macOS og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Den 23. januar udsendte Apple en stribe softwareopdateringer, der lukker sikkerhedshuller i iTunes til Windows, iCloud til Windows, Safari, watchOs, iOS, macOS og tvOS.

ITunes 12.7.3 for Windows lukker to sikkerhedshuller i WebKit.

iCloud for Windows 7.3 lukker de samme sikkerhedshuller.

Safari 11.0.3 lukker tre sikkerhedshuller i WebKit.

WatchOS 4.2.2 lukker 12 sikkerhedshuller.

IOS 11.2.5 lukker 13 sikkerhedshuller.

Udviklerne af Electron har lukket et alvorligt sikkerhedshul. Electron anvendes til udvikling af applikationer på tværs af platforme. Sårbarheden findes kun i applikationer til Windows udviklet med Electron.

Fejlen findes i applikationer, der registrerer sig som standardapplikation for en skræddersyet protokol af typen protokol://.

Chatprogrammerne Skype og Slack til Windows er berørt. Sikkerhedshullet er lukket i den seneste version.

Sårbarheden i Electron er lukket med version 1.8.2-beta.4, 1.7.11 og 1.6.16.

Sikkerhedsforsker Tavis Ormandy fra Google har fundet et sikkerhedshul i programmet Blizzard Update Agent, som installeres sammen med spil fra Blizzard. Programmet lader spillene blive opdateret automatisk.

Update Agent installerer en lokal web-server på brugerens computer. Opdateringsservere kommunikerer med den og giver den besked, når et program skal opdateres.

Sårbarheden består i, at andre websteder også kan kommunikere med den. Der er en adgangskontrol, men Tavis Ormandy har fundet en metode til at omgå den via såkaldt DNS-rebinding.

Den nyeste udgave af browseren Firefox lukker 32 sikkerhedshuller, hvoraf tre har fået Mozillas højeste risikovurdering.

13 er vurderet til høj risiko, 13 til moderat og tre til lav risiko.

Sikkerhedshullerne er lukket i version 58.

11 af sårbarhederne findes også i ESR-versionen. De er fjernet i Firefox ESR 52.6.

Anbefaling

Opdater til en rettet version.

Sikkerhedsforskere har opdaget svagheder i dating-appen Tinder til iOS og Android. Sårbarhederne skyldes, at appen ikke bruger HTTPS (Hypertext Transfer Protocol Secure) konsekvent.

Sårbarhederne medfører, at en angriber på samme netværk som offeret kan se, hvilke billeder vedkommende kigger på. Angriberen kan også indsætte sine egne billeder og se, om offeret fører sin finger mod venstre eller højre. Det markerer holdningen til personen på billedet.

Angriberne har ingen mulighed for at stjæle offerets brugernavn og password via sårbarhederne.