sårbarheder

Sårbarhed i iOS lader angribere tvinge ofre til at ringe op

Angribere kan få apps til iOS til at ringe op til bestemte numre. De kan forhindre, at offeret lægger røret på, før opkaldet går igennem.

Sikkerhedsforsker Collin Mulliner har fundet sårbarheden i iOS-apps til Twitter og LinkedIn. Han formoder, at den underliggende sårbarhed ligger i WebView-funktionen i iOS, der lader en app vise web-indhold.

Dansk
Keywords: 

Mobile apps har usikkert system til login

Sikkerhedsforskere har fundet usikre implementeringer af standarden OAuth 2.0 i fire ud af ti apps til smartphones og tablet.

OAuth 2.0 blev oprindelig udviklet for at gøre det at dele autentifikationsdetaljer mellem websteder. På den måde kan brugeren fx logge ind på Facebook og derefter genbruge sit login til at få adgang til andre tjenester, der samarbejder med Facebook.

Siden er flere udviklere begyndt at bruge standarden til på samme vis at dele oplysninger med apps.

Dansk

OpenSSL lukker tre huller

Udviklerne af krypteringsprogrammet OpenSSL har lukket tre sikkerhedshuller, hvoraf det ene er alvorligt.

Den alvorlige sårbarhed kan udnyttes til at få programmet til at gå ned.

De to øvrige sårbarheder har moderat eller lav risiko.

Anbefaling

Opdater til OpenSSL 1.1.0c.

Dansk

Microsoft lukker alvorlige huller

Microsofts 14 sikkerhedsrettelser for november lukker sikkerhedshuller i Internet Explorer, Edge, Windows, Office og SQL Server. Flere af sårbarhederne er alvorlige.

De alvorligste sårbarheder er i Internet Explorer, Edge og Windows. Sikkerhedsfirmaet Qualys mener dog også, at sårbarhederne i Office-pakken er kritiske. En angriber kan udnytte dem til at afvikle skadelig programkode, hvis offeret kan narres til at åbne en fil.

En af opdateringerne er til den indbyggede Adobe Flash Player i Windows. Den indeholder samme rettelser som den opdatering, Adobe har udsendt.

Dansk

Adobe retter Flash og Connect

Adobe har lukket ni alvorlige sikkerhedshuller i Flash Player og et enkelt i Adobe Connect.

Angribere kan udnytte sårbarhederne i Adobe Flash Player til at overtage kontrollen med det sårbare system.

Fejlene er rettet i Adobe Flash Player Desktop Runtime version 23.0.0.207 til Windows og Macintosh. Linux-brugere skal opdatere til version 11.2.202.644.

Adobe Connect har en sårbarhed i inputvalidering. Den kan udnyttes til cross-site scripting-angreb.

Hullet er lukket i Adobe Connect 9.5.7 til Windows.

Dansk

Wix lukker alvorligt sikkerhedshul

Websideværktøjet Wix har lukket et alvorligt sikkerhedshul, der lod en angriber overtage kontrollen med ethvert websted lavet på platformen.

Sikkerhedshullet er en DOM-baseret cross-site scripting-sårbarhed. Sikkerhedsforsker Matt Austin oplyser, at hullet gjorde det muligt at afvikle skadelig kode. I teorien ville det også være muligt at skrive en orm, der udnyttede sårbarheden til at sprede sig til andre Wix-websteder.

Anbefaling

Brugere af Wix bør sikre sig, at sårbarheden ikke har været udnyttet, inden hullet blev lukket.

Dansk
Keywords: 

Docker er sårbar for Dirty Cow

Angribere kan udnytte Linux-sårbarheden Dirty Cow til at slippe ud af en Docker-container og få adgang til data uden for den.

Dirty Cow er en gammel sårbarhed i Linux, der blev rettet for nylig. Sikkerhedsforskere har undersøgt, hvad den betyder for container-miljøer såsom Docker.

Sikkerhedsforsker Gabriel Lawrence har fundet en metode til at køre et program under Docker, der giver ham adgang til at blive root-bruger på systemet uden for containeren.

Sikkerhedsfirmaet Aqua har fundet en metode til at skrive data til en disk, der er tilsluttet som read-only.

Dansk

Memcached lukker tre alvorlige huller

Udviklerne af Memcached, der bruges til at øge ydeevnen for web-applikationer, har lukket tre alvorlige sikkerhedshuller. De giver en angriber mulighed for at afvikle skadelige programmer.

Sikkerhedsfirmaet Cisco Talos har identificeret fejlene. Hvis en Memcached-server kan nås fra internettet, kan en angriber sende en særlig kommando til den og udnytte sårbarhederne.

Også Memcached-servere bag en firewall kan blive angrebet, hvis angriberen på anden vis er kommet ind på en anden maskine på nettet.

Fejlene er rettet i Memcached 1.4.33.

Dansk

Microsoft lukker hul i Windows på tirsdag

Med november måneders sikkerhedsrettelser i næste uge lukker Microsoft et alvorligt hul i Windows. Angribere udnytter det i begrænsede, målrettede angreb.

Google offentliggjorde for nylig nyheden om, at firmaet havde fundet to hidtil ukendte sårbarheder i Adobe Flash Player og Microsoft Windows. Adobe udsendte en ekstraordinær opdatering, der lukkede hullet i Flash.

Microsoft oplyser, at firmaet planlægger at lukke hullet tirsdag aften som led i de faste månedlige sikkerhedsopdateringer.

Dansk

Angribere udnytter hul i Windows, der ikke er lukket

Et alvorligt sikkerhedshul i Windows står åbent og udnyttes aktivt i angreb.

Google, der har opdaget sårbarheden, informerede Microsoft om den den 21. oktober. Microsoft har endnu ikke udsendt en rettelse, der lukker hullet.

Google har en politik om at informere om sårbarheder, der udnyttes aktivt, inden for syv dage. Derfor har de oplyst, at sårbarheden findes, men uden at offentliggøre tekniske detaljer.

Dansk

Sider

Abonnér på RSS - sårbarheder