Sikkerhedsforsker Nicolai Grødum fra Cisco har opdaget en sårbarhed i flere browseres implementering af CSP (Content Security Policy). Formålet med CSP er at sikre, at scripts kun må afvikles fra godkendte kilder.
Sårbarheden gør, at det i nogle tilfælde er muligt at omgå CSP-reglerne. Dermed kan angribere få adgang til fortrolig information.
Google lukkede sikkerhedshullet med version 57.0.2987.98 af Chrome.
September måneds sikkerhedsrettelser til Android fjerner 81 sårbarheder. Som vanligt er de opdelt i generelle sårbarheder og sårbarheder, der findes i specifikke hardware- og softwarekombinationer.
Der er 30 generelle sårbarheder, hvoraf 10 er kritiske. De findes alle i Media Framework, der også tidligere har haft alvorlige sårbarheder.
De 51 hardwarespecifikke sårbarheder omfatter tre kritiske.
Anbefaling
Afvent opdateringer fra producenterne af Android-enheder.
Udviklerne af Apache Struts har lukket tre sikkerhedshuller. Et af dem er kritisk, idet angribere kan udnytte REST-pluginnet til at afvikle skadelig programkode.
Flere angrebsprogrammer, der udnytter sårbarheden, er lagt ud på nettet.
Sårbarheden ligger i deserialization i Java.
En række store virksomheder anvender Struts og er dermed mulige angrebsmål.
Når man tænder for en smartphone, kører den et såkaldt bootloader-program. Det har til formål at indlæse styresystemet. Et hold sikkerhedsforskere har undersøgt sikkerheden i fem bootloadere fra fire producenter.
Forskerne fandt frem til seks hidtil ukendte sårbarheder. Nogle af dem giver en angriber mulighed for afvikle kode, andre kan sætte enheden permanent ud af drift.
Til analysen udviklerede forskerne værktøjet BootStomp. Foruden de seks hidtil ukendte sårbarheder fandt værktøjet også en kendt sårbarhed. Det ser forskerne som et tegn på, at værktøjet fungerer.
Sikkerhedsforskere fra Cisco Talos har opdaget en sårbarhed i programmet Labview fra National Instruments. Labview anvendes til dataopsamling, instrumentkontrol og i industrikontrolsystemer.
Programmet bruger et filformat ved navn VI. Forskerne opdagede en sårbarhed, der kan få programmet til at gå ned og muligvis føre til afvikling af programkode.
Den kritiske sårbarhed i Asterisk giver angribere mulighed for at overtage sessioner. Sårbarheden ligger i behandlingen af RTP (Realtime Transport Protocol).
Fejlen er rettet i Asterisk Open Source 11.25.2, 13.17.1 og 14.6.1, og i Certified Asterisk 11.6-cert17 og 13.13-cert5.
Endvidere er der fundet to mindre alvorlige sårbarheder. Den ene giver autoriserede brugere mulighed for at afvikle kommandoer, den anden kan sætte Asterisk-systemet ud af drift.
Flere applikationer anvender grafikbiblioteket Gdk-Pixbuf til at håndtere grafikfiler. Sikkerhedsfirmaet Cisco Talos har opdaget to sårbarheder.
Hvis en angriber kan få offeret til at åbne en fil, der er udformet på en særlig måde, kan sårbarhederne medføre, at skadelig programkode bliver afviklet.
Chromium, Firefox, GNOME Thumbnailer, VLC og flere andre applikationer bruger Gdk-Pixbuf.
Sårbarhederne blev kendt for et år siden, da et sikkerhedsfirma offentliggjorde en rapport om dem. St. Jude Medical, der nu er ejet af Abbott Laboratories, har nu lukket sikkerhedshullerne med ny firmware.
En af sårbarhederne gør det muligt for en angriber, der er fysisk tæt på pacemakeren, at sende uautoriserede kommandoer til den via radiobølger.
Firmaet anbefaler patienter at få installeret den opdaterede firmware, næste gang de alligevel er hos deres læge eller på sygehuset.
Problemerne opstod, når dokumenter brugte XFA-formularer (XML Forms Architecture). Adobe udsendte første nogle hotfixes til berørte kunder. De løste problemet, men gjorde, at en af sårbarhederne ikke blev rettet.
Adobe har nu udsendt opdateringer, der lukker alle de oprindelige sikkerhedshuller uden at give problemer med XFA-formularer.
Anbefaling
Opdater til den nyeste version, hvis I har oplevet problemer med XFA-formularer.
