Af Torben B. Sørensen, 18/05/17
Fejlen findes kun i Joomla 3.7.0. Den ligger i den nye komponent com_fields, som blev introduceret i den version.
Enhver kan udnytte sårbarheden til at indsætte SQL-kommandoer i URL'er. Man behøver ikke være oprettet på webstedet.
Fejlen er rettet i Joomla 3.7.1.
Opdater til Joomla 3.7.1.
Af Torben B. Sørensen, 17/05/17
Sårbarheden i PHPMailer har været kendt i flere måneder. Den version, der er inkluderet i Vanilla, er opdateret med Vanilla version 3.2.1.
En mindre alvorlig sårbarhed ligger i behandlingen af HTTP_HOST-headeren. Hullet er ikke lukket, i stedet har udviklerne fjernet brugen af headeren. De advarer om, at det kan give problemer.
Udviklerne arbejder på en løsning, der lukker hullet rigtigt.
Cloud-versionen af Vanilla er ikke berørt, kun open source-udgaven.
Opdater til version 2.3.1.
Af Torben B. Sørensen, 17/05/17
Sårbarheden ligger i Chromes behandling af filer af typen SCF (Shell Command File). Hvis angriberen kan narre offeret til at klikke på et link til en SCF-fil, gemmes den i mappen Downloads.
Når brugeren åbner mappen, forsøger Windows at hente et ikon til filen. I filen står der angivet en netværksadresse på ikonet. Windows forbinder sig til adressen og oplyser brugernavn og hashværdi af passwordet.
Af Torben B. Sørensen, 17/05/17
To af sårbarhederne handler om fejl i behandlingen af metadata i XML-RPC API'et. To er cross-site scripting-sårbarheder, en er en cross-site request forgery-sårbarhed (CSRF). Den sidste sårbarhed ligger i HTTP-klassen og handler om omdirigering.
Fejlene er rettet i WordPress 4.7.5.
Firmaet oplyser ikke, hvor alvorlige sårbarhederne er.
Opdater til WordPress 4.7.5.
Af Torben B. Sørensen, 16/05/17
Den nye version af styresystemet til iPhone, iPad og iPod, iOS 10.3.2, lukker 41 sikkerhedshuller.
Styresystemet til Macintosh-computere, macOS, er opdateret til macOS Sierra 10.12.5. Samtidig har Apple udsendt, Security Update 2017-002 El Capitan, and Security Update 2017-002 Yosemite, der lukker sikkerhedshuller i de to tidligere versioner. I alt lukker rettelserne til macOS 37 sikkerhedshuller.
Styresystemet til Apple Watch er opdateret til watchOS 3.2.2, der lukker 12 sikkerhedshuller.
Af Torben B. Sørensen, 11/05/17
Sikkerhedsforskere fra firmaet Wordfence har undersøgt sikkerheden af plugins til WordPress. Knap halvdelen af alle plugins på WordPress.org har ikke været opdateret de sidste to år.
18 af dem ser ud til at have sårbarheder, som ikke er blevet rettet.
Endvidere er der fire, som godt nok er blevet rettet, men hvor det er sket på en måde, så installerede plugins ikke bliver opdateret automatisk.
Sårbarhederne har været offentligt kendt i to-tre år.
Afinstaller eller opdater forældede plugins.
Af Torben B. Sørensen, 11/05/17
Sårbarheden blev kendt, da en stribe angrebsværktøjer fra CIA blev lækket tidligere på året. Dengang offentliggjorde Cisco en liste over berørte produkter.
Nu er listen opdateret med sikkerhedsrettelser, der lukker hullet.
318 produkter er ramt, heriblandt en lang række Catalyst-switche.
Sårbarheden ligger i behandlingen af Cisco Cluster Management Protocol (CMP).
Opdater IOS eller IOS XE.
Af Torben B. Sørensen, 11/05/17
Sårbarhederne giver eksterne angribere mulighed for at afvikle kommandoer på NetBackup-serveren.
To sikkerhedsforskere fra Google opdagede sårbarhederne. De understreger, at de har foretaget en black box-test og altså ikke har haft adgang til kildekoden. Derfor er det sandsynligt, at der er flere sårbarheder i produktet.
De skriver, at NetBackups arkitektur har flere sikkerhedsproblemer. Fx er der ingen kryptering eller autentifikation af kommunikationen mellem klienter og servere.
Af Torben B. Sørensen, 10/05/17
Alle sårbarhederne skyldes problemer med håndteringen af arbejdslageret. De giver angribere mulighed for at afvikle skadelig programkode.
En angriber kan udnytte sårbarhederne, hvis offeret besøger et websted, der indeholder Flash-elementer.
Fejlene er rettet i Flash Player 25.0.0.171.
Opdater Flash Player eller afinstaller programmet.
Af Torben B. Sørensen, 10/05/17
Rettelserne lukker huller i Internet Explorer, Edge, Windows, Office, Office Services and Web Apps, .NET Framework og Adobe Flash Player. Tre af sårbarhederne udnyttes aktivt i angreb.
Sårbarhedsfirmaet Qualys anbefaler organisationer at prioritere rettelsen til en sårbarhed i Office højest. En angriber kan udnytte den ved at narre offeret til at åbne et dokument med et indlejret billede. Angribere benytter metoden til aktive angreb, der kan give dem fuld kontrol over den sårbare computer.
