Af Torben B. Sørensen, 31/03/17
Sikkerhedsfirmaet Cure53 har foretaget et sikkerhedseftersyn af programkoden bag en udbredt implementering af NTP (Network Time Protocol). Det fandt 16 sårbarheder, hvoraf en regnes for kritisk.
Fejlene er rettet i ntp-4.2.8p10, der blev udsendt den 21. marts.
Forskerne har både set på koden til NTP og NTPsec. Otte af sårbarhederne findes kun i NTP, to kun i NTPsec.
Opdater til den rettede version.
Af Torben B. Sørensen, 31/03/17
Den kritiske sårbarhed ligger i print-funktionen. Sikkerhedsforskeren, der fandt den, fik en dusør på 9.337 dollars.
De øvrige fire sårbarheder har fået Googles næsthøjeste risikovurdering.
Fejlene er rettet i Chrome 57.0.2987.133 til Windows, Macintosh og Linux.
Genstart Chrome for at aktivere opdateringen.
Af Torben B. Sørensen, 30/03/17
Deltagere i konkurrencen Pwn2Own vandt tidligere på måneden over 200.000 dollars for at hacke sig ind på systemer med VMware-software. De udnyttede nogle sårbarheder, som VMware nu har rettet.
Der er rettelser til alvorlige huller i ESXi 6 og 6.5, Workstation 12 og Fusion 8.
Sårbarhederne giver en virtuel maskine mulighed for at afvikle programkode på den fysiske computer, den kører på.
Opdater til en rettet version.
Af Torben B. Sørensen, 30/03/17
Sikkerhedsforskere har opdaget, at angribere har udnyttet sårbarheden siden sommeren 2016. Sårbarheden gør det muligt at afvikle skadelig programkode på serveren.
Da fejlen findes i version 6 af IIS (Internet Information Services), som Microsoft ikke længere vedligeholder, er det usandsynligt, at Microsoft lukker hullet. Firmaet anbefaler brugerne at opdatere til en nyere version.
Man kan forhindre sikkerhedshullet i at blive udnyttet ved at slå WebDAV fra på serveren.
Ifølge SecurityWeek kører over otte millioner websteder stadig IIS 6.
Af Torben B. Sørensen, 28/03/17
Det kritiske sikkerhedshul i IOx findes i processen Data-in-Motion. Den berører to routere i serien Cisco 800 Series Industrial Integrated Services Routers: Cisco IR809 og Cisco IR829.
Sårbarheden giver udefrakommende angribere mulighed for at køre skadelige programmer med administratorprivilegier.
Foruden denne sikkerhedsrettelse har Cisco udsendt rettelser til syv andre sårbarheder i IOS og IOS XE. De har alle fået firmaets næsthøjeste risikovurdering.
Installer opdateringerne fra Cisco.
Af Torben B. Sørensen, 28/03/17
MacOS Server 5.3 lukker tre sikkerhedshuller. To af dem kan bruges til at sætte serveren ud af drift, det tredje lader angribere få adgang til data om brugere.
TvOS 10.2 lukker 56 sikkerhedshuller. 15 af dem giver angribere mulighed for at afvikle skadelig programkode.
WatchOS 3.2 lukker 34 sikkerhedshuller, hvoraf 13 lader angribere afvikle skadelig programkode.
IOS 10.3 fjerner 84 sårbarheder fra styresystemet til til iPhone, iPad og iPod. 19 af dem lader angribere afvikle skadelig programkode.
Af Torben B. Sørensen, 27/03/17
I sidste uge lukkede LastPass flere huller, som Tavis Ormandy havde fundet. Nu har han fundet et nyt.
LastPass oplyser, at firmaet er i gang med at fjerne den nyopdagede sårbarhed. Det betegner angrebet som enestående og meget sofistikeret.
Yderligere informationer om sårbarheden kommer først, når den er rettet.
LastPass anbefaler, at man åbner websteder fra LastPass Vault for at undgå at komme ind på falske sider.
Afvent opdatering fra LastPass.
Af Torben B. Sørensen, 23/03/17
Sårbarhederne fandtes i browser-udvidelser til tjenesten. De er lukket med de seneste versioner til følgende browsere:
Også version 3.3.4 til Firefox er rettet. Men da version 3 trækkes tilbage i næste måned, anbefales brugere at opdatere til version 4.
Nogle af versionerne kan være forsinket i udbydernes webbutikker. Hvis det er tilfældet, kan man hente nyeste version direkte hos LastPass.
Af Torben B. Sørensen, 22/03/17
Libpurple er et programmeringsbibliotek med chatfunktioner. En række chatklienter bruger det, heriblandt Adium til MacOS, Finch, Instantbird, Pidgin, Spectrum og Telepathy-Haze.
Sårbarheden gør det muligt at køre skadelig kode på klienten.
Udviklerne af Pidgin har lukket hullet med version 2.12.0. Derimod ser det ikke ud til, at det er lukket i Adium.
Sikkerhedsreporter Joseph Cox anbefaler, at man holder op med at bruge klienter baseret på Libpurple.
Afvent sikkerhedsopdateringer eller skift til et andet chatprogram.
Af Torben B. Sørensen, 22/03/17
Sikkerhedsforsker Tavis Ormandy fra Google har fundet tre sikkerhedshuller: Et i udvidelsen til Firefox og to i udvidelsen til Google Chrome.
LastPass oplyser, at hullet i Firefox er lukket, men at den rettede version afventer godkendelse fra Mozilla, som står bag Firefox. Fejlen findes i version 3.3.2, som er på vej til at blive trukket tilbage. Fremover vil kun version 4 blive understøttet.
Ifølge LastPass er det ene hul i Chrome-udgaven også lukket. Flere brugere rapporterer dog, at de fortsat kan aktivere sårbarheden via en testside, Tavis Ormandy har lavet.
