sårbarheder

Følgende modeller er sårbare: R8500, R8300, R7000, R6400, R7300DST, R7100LG, R6300v2, WNDR3400v3, WNR3500Lv2, R6250, R6700, R6900, R8000, R7900, WNDR4500v2, R6200v2, WNDR3400v2, D6220, D6400 og C6300.

Sårbarheden ligger i scriptet Passwordrecovered.cgi. Det er muligt at få oplyst administratorpasswordet ved at udnytte fejlen.

Angribere kan kun udnytte sårbarheden over internettet, hvis web-administration er slået til.

Fejlen kan rettes ved at installere opdateret firmware.

Anbefaling

Installer den opdaterede firmware fra Netgear.

Der er en SQL-indsætningssårbarhed i WP-Query. Kernen af WordPress er ikke direkte sårbar, men der er indført beskyttelse mod, at plugins og temaer kommer til at udnytte sårbarheden.

Endvidere er der fundet en cross-site scripting-sårbarhed i tabellen med lister over indlæg.

Den sidste fejl ligger i taksonomisystemet.

Fejlene er rettet i WordPress 4.7.2.

Anbefaling

Opdater til nyeste version af WordPress.

Ingen af sårbarhederne har fået Googles højeste risikovurdering. Mindst syv har fået den næsthøjeste.

Fejlene er rettet i Chrome 56.0.2924.76 til Windows, Macintosh og Linux.

Anbefaling

Genstart Chrome for at aktivere opdateringen.

Links

• Stable Channel Update for Desktop

Sikkerhedshullet gjorde det muligt at indtaste script-kode i kommentarboksen og få den afviklet, når brugere så siden med kommentaren.

En søgning på Google finder frem til over 700.000 websider, der indeholder koden fra HTML Comment Box.

En 14-årig sikkerhedsforsker opdagede sårbarheden og rapporterede den til dusørprogrammet Detectify Crowdsource. De fik fat i udviklerne, der lukkede hullet efter nogle timer.

Firmaet lukkede sikkerhedshullet med firmwareversion 2.11.157, der blev udsendt den 20. december.

Sårbarheden gjorde det muligt at indsætte kommandoer i feltet til brugernavn. Dermed kunne angribere omgå autentifikationsrutinen og afvikle kommandoer.

Anbefaling

Opdater til den rettede firmware.

Foruden rettelserne lancerer Firefox 51 en advarsel mod websteder, der ikke beskytter fortrolig information. I første omgang bliver det via et ikon med en grå hængelås med en rød streg over. Det vises på sider, der indsender passwords uden at bruge HTTPS (Hypertext Transfer Protocol Secure) til at beskytte forbindelsen.

Senere vil det blive udvidet med en advarsel, der vises, når brugeren begynder at indtaste sit password.

I fremtiden vil ikonet blive vist for alle sider, der ikke anvender HTTPS.

Anbefaling

Genstart Firefox for at aktivere opdateringen.

Sårbarheden gør det muligt at afvikle skadelig programkode på en pc, der kører WebEx-udvidelsen i en browser. Det oplyser sikkerhedsforsker Tavis Ormandy fra Google.

Ifølge sikkerhedsforsker Filippo Valsorda kan sårbarheden fortsat udnyttes i den rettede version af udvidelsen. Her skal offeret dog klikke Ok i en dialogboks. Hvis der findes cross-site scripting-sårbarheder på et websted under webex.com, kan de også udnyttes sammen med sårbarheden.

Anbefaling

Overvej at afinstallere WebEx-udvidelsen, indtil en sikker rettelse er klar.

Styresystemet til iPhone, iPad og iPod er opdateret til iOS 10.2.1. Det lukker 18 sikkerhedshuller.

Styresystemet til Mac-computere er opdateret til macOS Sierra 10.12.3, der lukker 11 huller. Desuden er sikkerhedsrettelserne fra Safari 10.0.3 inkluderet.

Browseren Safari 10.0.3 lukker 12 sikkerhedshuller.

ITunes 12.5.5 for Windows retter fire sårbarheder. De samme fire sårbarheder er rettet i iCloud for Windows 6.1.1.

Styresystemet tvOS til Apple TV er opdateret til version 10.1.1. Den lukker 12 sikkerhedshuller.

Sårbarheden ligger i funktionen "docker exec". Fejlen stammer fra funktionen Runc fra Opencontainers-projektet. Docker er en af flere container-løsninger, der anvender den kode.

Sårbarheden kan udnyttes ved at udføre en kommando via "exec" i en container, der allerede kører. En proces i containeren kan få adgang til mapper på host-computerens filsystem.

Docker har rettet fejlen med Docker Engine 1.12.6.

Anbefaling

Opdater til Docker Engine 1.12.6.

Virksomheden oplyser, at kun Samsung Smartcam model SNH-1011 er sårbar. Hullet vil blive lukket i en kommende firmwareopdatering.

Sårbarheden kan udnyttes til at afvikle kommandoer og slå telnet og den indbyggede webserver til.

Anbefaling

Afvent ny firmware fra Samsung.