sårbarheder

Adobe har udsendt en opdatering til Flash Player, der fjerner en sårbarhed. Den kan medføre, at uvedkommende får adgang til fortrolig information.

Adobe betegner opdateringen som vigtig, men ikke kritisk.

Fejlen er rettet i Adobe Flash Player version 28.0.0.137 til alle platforme.

Anbefaling

Opdater Flash Player eller afinstaller produktet, hvis I kan undvære det.

Apple har opdateret macOS, iOS og Safari. De nye versioner skal begrænse risikoen for, at Spectre kan udnyttes. Det drejer sig om sårbarhederne CVE-2017-5753 og CVE-2017-5715.

De opdaterede versioner er macOS High Sierra 10.13.2 Supplemental Update, iOS 11.2.2 og Safari 11.0.2.

Spectre er et par sårbarheder, der findes i processorer fra flere producenter. Det kræver en opdatering af hardwaren at fjerne dem, men man kan via software mindske risikoen for, at de kan udnyttes.

Microsoft har tidligere oplyst, at der er særlige krav til pc'er, der skal have den opdatering, som skal forhindre udnyttelsen af hardwaresårbarhederne Spectre og Meltdown: Antivirusprogrammet på pc'en skal sætte en nøgle i registreringsdatabasen, der angiver, at det er kompatibelt med rettelsen.

Nu har Microsoft udvidet begrænsningen til at gælde alle fremtidige sikkerhedsopdateringer til Windows.

Dermed risikerer brugere af Windows at gå glip af rettelser, hvis den pågældende nøgle ikke ændres.

Ifølge Microsoft er computerne gået ind i en tilstand, hvor de ikke kan bootes. Som følge af problemerne holder Microsoft nu op med at distribuere de sikkerhedsopdateringer, som firmaet udsendte den 3. januar. De kan hverken fås gennem Windows Update eller WSUS (Windows Server Update Services).

Formålet med opdateringerne er at mindske risikoen for, at angreb udnytter processorsårbarhederne Spectre og Meltdown.

Microsoft og AMD arbejder på at løse problemet, så opdateringerne senere kan blive installeret.

En sikkerhedsforsker har opdaget en bagdør i Western Digitals My Cloud-harddiske. Han fandt også andre sårbarheder i produktet.

Bagdøren består af et brugernavn med et password, der er indbygget i systemet. Brugeren kan ikke ændre passwordet.

Western Digital har lukket hullet med firmware version 2.30.174.

Produkter med firmware version 4.x er ikke sårbare.

Disse produkter er sårbare:

Microsoft har udsendt opdateringer til Windows, som skal forhindre, at angribere udnytter chip-sårbarhederne Meltdown og Spectre. Men opdateringerne kan medføre problemer, hvis antivirusprogrammer ikke er forberedt på dem.

Derfor skal antivirusproducenterne ændre på en indstilling i registreringsdatabasen for at signalere, at deres produkt kan fungere med opdateringerne.

Hvis oplysningen i registreringsdatabasen ikke er ændret, bliver opdateringen ikke installeret.

En sårbarhed i Intel-processorer giver normale programmer adgang til at læse data i arbejdslageret, der burde være reserveret til kernen. Fejlen findes i de fleste Intel-processorer fremstillet siden 2011.

Sårbarheden, som DKCERT skrev om i går, har nu fået navnet Meltdown.

Også nogle varianter af Arm Cortex-processorer er berørt. Derimod er AMD-processorer ikke sårbare.

Samtidig er en anden processor-sårbarhed opdaget: Spectre. Den lader normale applikationer få fat i information fra andre kørende processer.

PhpMyAdmin 4.7.7 fjerner en sårbarhed af typen cross-site request forgery (CSRF) i værktøjet til web-baseret administration af MySQL-databaser.

En angriber kan udnytte sårbarheden ved at udforme et link på en særlig måde. Hvis en administrator af en database bliver narret til at åbne linket, kan der blive slettet en tabel i databasen.

Fejlen findes i version 4.7.x frem til 4.7.7.

Anbefaling

Opdater til phpMyAdmin 4.7.7.

Linux-udviklerne har udsendt opdateringer til Linux, der skal lukke et alvorligt sikkerhedshul i Intel-processorer. Nærmere detaljer om hullet er endnu ikke offentliggjort.

Sårbarheden ser ud til at ligge i behandlingen af virtuel hukommelse. Ifølge The Register kan den bestå i, at programmer kan tilgå data, der burde være reserveret kernen.

Nærmere detaljer ventes offentliggjort i morgen.

AMD oplyser, at deres processorer ikke er berørt.

Rettelsen til Linux indfører en funktion, der kaldes Kernel Page Table Isolation (KPTI).

I oktober opdagede sikkerhedsforskere, at det er muligt at afvikle kode i Word-dokumenter uden brug af makroer. I stedet kan man anvende DDE (Dynamic Data Exchange), der er beregnet til dataudveksling mellem applikationer.

Metoden afføder et par advarsler til brugeren, når man prøver at åbne et dokument, hvor den anvendes.

Microsoft reagerede først med at sige, at funktionen fungerede som planlagt. Firmaet havde ingen planer om at ændre den.