sårbarheder

PHPMailer lukker alvorligt hul, som også rammer andre PHP-programmer

En angriber kan udnytte sårbarheden til at afvikle kommandoer på webserveren.

Sikkerhedsforsker Dawid Golunski har fundet sårbarheden i PHPMailer, SwiftMailer og Zend Framework. Fejlen er rettet i PHPMailer 5.2.20.

Udviklerne af SwiftMailer har forsøgt at lukke hullet med version 5.4.5. Sikkerhedsforsker Paul Buonopane mener imidlertid, at rettelsen ikke er tilstrækkelig til at lukke hullet.

Zend Framework har lukket hullet med version 2.7.2 af zend-mail.

Dansk

Mozilla retter Thunderbird

Den ene alvorlige sårbarhed ligger i behandlingen af DOM-elementer og audio-elementer. Den anden er diverse fejl i behandlingen af arbejdslageret.

De øvrige seks sårbarheder har alle fået Mozillas næsthøjeste risikovurdering.

Fejlene er rettet i Thunderbird 45.6.

Anbefaling

Genstart Thunderbird for at aktivere opdateringen.

Links

Dansk

8.878 plugins til WordPress er sårbare

Et sikkerhedsfirma har ved hjælp af statisk kodeanalyse af plugins til WordPress fundet 8.878, der har mindst en sårbarhed.

RIPS Technologies har analyseret 44.705 af de plugins, der kan hentes fra det officielle WordPress-arkiv over plugins. Virksomhedens værktøj fandt i alt 67.486 sårbarheder fordelt på 8.878 plugins.

De fleste sårbarheder var af typen cross-site scripting, mens nummer to var SQL-indsætning med godt 20 procent.

41 af de 8.878 plugins havde en eller flere kritiske sårbarheder, mens 2.799 havde sårbarheder vurderet til høj risiko.

Dansk

Apple lukker huller i macOS, Safari, iTunes og iCloud

Den nye macOS Sierra 10.12.2 lukker 72 huller i styresystemet til Mac-computere. Nogle af dem findes i tredjepartssoftware såsom Apache og Curl.

Browseren Safari 10.0.2 lukker 24 sikkerhedshuller. Den er også inkluderet i macOS Sierra 10.12.2.

ITunes 12.5.4 for Windows fjerner 23 sårbarheder.

ICloud for Windows 6.1 lukker 24 sikkerhedshuller.

Anbefaling

Test og installer opdateringerne fra Apple.

Dansk

Adobe retter Flash og otte andre produkter

Opdateringen til Adobe Animate lukker et enkelt alvorligt hul. Fejlen er rettet i version 16.0.0.112.

17 sikkerhedshuller i Flash Player er lukket med den seneste version, 24.0.0.186. Som noget nyt virker den rettede version på alle udgaver af Flash, både Windows, Macintosh, Linux og Chrome OS.

Angribere udnytter allerede en af sårbarhederne i Flash Player. Angrebene er rettet mod Flash Player under 32-bit Internet Explorer.

Dansk

Microsoft lukker 44 sikkerhedshuller

Dermed har Microsoft i år udsendt 155 sikkerhedsopdateringer. Det er 15 procent flere end sidste år.

December måneds sikkerhedsrettelser er beskrevet i disse sikkerhedsbulletiner:

MS16-144: Opsamlende opdatering til Internet Explorer, der lukker otte nye sikkerhedshuller. Tre af dem har været kendt, inden rettelsen blev udsendt. Flere af hullerne giver mulighed for at afvikle skadelig programkode.

MS16-145: Opsamlende opdatering til Edge, der lukker 11 huller, heraf flere alvorlige.

Dansk

Apple retter iOS, tvOS og watchOS

En af de alvorligste sårbarheder findes i alle tre styresystemer. Den består i en fejl i behandlingen af arbejdslageret i forbindelse med certifikater. Angribere kan udnytte den via Apple Mail eller Safari Mobile til at afvikle skadelig kode.

Det er den eneste sårbarhed i tvOS. I watchOS er der yderligere en sårbarhed, som også findes i iOS.

Fejlene er rettet i iOS 10.2 til iPhone, iPad og iPod touch, tvOS 10.1 til Apple TV og watchOS 3.1.1.

Anbefaling

Opdater til de rettede versioner af styresystemerne.

Dansk

Netgear udsender betaversion af rettelse til routere

Angribere kan udnytte sårbarheden til at afvikle kommandoer på de sårbare routere, hvis de kan lokke offeret til at besøge en webside.

Følgende modeller af Netgear-routere er sårbare: R6250, R6400, R6700, R7000, R7100LG, R7300, R7900 og R8000.

En betaversion af rettet firmware kan hentes nu, men firmaet garanterer ikke, at den vil virke hos alle. Betaversionen kan fås til R6400, R7000 og R8000.

Anbefaling

Installer betaversionen eller luk for web-processen, indtil den endelige firmware er klar.

Dansk

McAfee lukker ti huller i VirusScan til Linux

McAfee har standset udviklingen af produktet, som er afløst af Endpoint Security for Linux 10.2. Firmaet anbefaler kunderne at opgradere til dette produkt, det er gratis for eksisterende brugere.

Foruden de ti huller i Linux-versionen er der også et i Virus Scan Enterprise for Windows version 8.7i til og med 8.8 patch 4. Det fremgår ikke, om det er rettet.

Anbefaling

Opdater til Endpoint Security for Linux.

Dansk

Hul i tre routere fra Netgear står åbent

Sårbarheden skyldes, at det er muligt at indtaste kommandoer i en URL til det indbyggede webbaserede konfigurationsværktøj. For at udnytte sårbarheden skal angriberen narre offeret til at besøge en URL, der er udformet på en særlig måde.

Fejlen findes i R7000, R6400 og muligvis også R8000.

Der er offentliggjort et angrebsprogram, som demonstrerer sårbarheden.

Netgear har endnu ikke lukket hullet. Man kan beskytte sig mod, at angribere udnytter det, ved at lukke web-processen. Den vil dog blive genstartet, hvis man slukker og tænder for routeren.

Dansk

Sider

Abonnér på RSS - sårbarheder