februar 2, 2012 at 8:24 Apple har udsendt Security Update 2012-001 til OS X 10.6.8 og 10.7.x. Der rettes en række sårbarheder, bl. a. opdateringer til QuickTime, Apache og PHP. Apple anbefaler at man opgraderer med disse rettelser, nærnere oversigt her:
februar 1, 2012 at 8:45 Firefox har udsendt en ny major version, Firefox 10, som man bør overveje opdatering til. Den nye version indeholder nemlig rettelse af flere kritiske sårbarheder, der er nærmere beskrevet her:
http://www.mozilla.org/security/known-vulnerabilities/firefox.html
januar 30, 2012 at 8:54 Symantec har 24. januar 2012 udsendt en bulletin om sårbarheder i pcAnywhere, der kan give en angriber fuld kontrol gennem remote kodeafvikling. Angrebet sker via tcp port 5631 der er den normal indgang for dette fjernstyringsprogram. Vær opmærksom på at pcAnywhere osse benyttes som en del af andre Symantec produkter som f.eks. Altiris.
Nærmere oplysninger fra Symantec om hvordan man kan imødegå den kritiske sårbarhed findes her:
januar 19, 2012 at 11:15 Oracle har 17. januar 2012 udsendt sin kvartalsopdatering, der retter 78 sikkerhedshuller i forskellige Oracle produkter.
Der adresseres i opdateringen både databaseprodukter men osse Sun, Fusion Middleware, Peoplesoft, JDEdwards m.m.
Java er et af de få Oracle produkter der ikke er omfattet af denne cyklus med en kvartalsvis opdatering.
Der er rettet sårbarheder som kan give remote kodeafvikling i bl.a. Oracle Database og MySQL.
Her kan man se nærmere om opdateringerne hvis man bruger Oracle produkter:
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
januar 11, 2012 at 9:28 Adobe har udsendt sikkerhedsopdateringer til Adobe Reader og Acrobat 10. januar 2012. Denne kvartalsopdatering til Windows og Mac retter forskellige sårbarheder der bl.a. kan medføre remote kodeafvikling, så man bør sikre at der opgraderes til den ny version :
Adobe Reader X og Adobe Acrobat X: version 10.1.2
Er man låst på den mindre sikre version 9 hedder opdateringsversionen 9.5 .
http://www.adobe.com/support/security/bulletins/apsb12-01.html
januar 11, 2012 at 9:01 Microsoft har udsendt 7 bulletiner tirsdag 10. januar 2012. Få detaljerne ved at følge linkene i tabellen:
|
Sårbarhed i Windows kernel Microsoft Windows alle versioner. |
Mulighed for at bypasse SafeSEH beskyttelse fra Visual C++ .NET 2003 byggede applikationer. |
Vigtig |
|
|
Sårbarhed i Object Packager Microsoft Windows 7, Vista og Server 2008. |
Remote kodeafvikling fra ondsindet fil i samme mappe som embedded object. |
Vigtig |
|
|
Sårbarhed i CSRSS Microsoft Windows mange asiatisk-sporog versioner. |
Forøgelse af rettigheder. |
Vigtig |
|
|
2 sårbarheder i Windows Media Microsoft Windows mange versioner. |
Remote kodeafvikling fra ondsindet media fil. |
Kritisk |
|
|
Sårbarhed i Windows Microsoft Windows alle versioner. |
Remote kodeafvikling fra Office fil med ondsindet ClockOnce applikation indbygget. |
Vigtig |
|
|
Sårbarhed i SSL 3.0 og TLS 1.0 Microsoft Windows alle versioner. |
Man-in-the-middle ”BEAST” angreb kan dekode http header data. |
Vigtig |
|
|
Sårbarhed i Microsoft Anti-XSS Microsoft AntiXSS Library 3.x og 4.0. |
Afsløring af information (XSS). |
Vigtig |
Zscaler har opdateret med beskyttelse mod de klientbaserede sårbarheder omfattet af disse bulletiner.
januar 5, 2012 at 15:09 OpenSSL er et udbredt OpenSource produkt til bl.a. SSL og TLS. OpenSSL benyttes osse i produkter fra en del kommercielle leverandører.
5. januar 2012 er der udsendt sikkerhedsopdateringer af OpenSSL med rettelse af 6 sikkerhedshuller. Den mest alvorlige sårbarhed giver risiko for at klartekstversionen af data kan genskabes fra krypterede trafikdata når OpenSSL benyttes til at kryptere datagrammer med DTLS. Desuden retter opdateringen en del denial-of-service sårbarheder.
Afhængig af om man benytter 1.0 eller 0.9 sporet hedder de nye OpenSSL versioner 1.0.0.f og 0.9.8.s.
Se OpenSSL's Security Advisory her :
december 30, 2011 at 8:29 Microsoft har 29. december 2011 udsendt en opdatering til .NET Framework uden for den normale opdateringscyklus. Der er tale om en kritisk opdatering der indeholder rettelse af 4 sårbarheder, der berører de fleste versioner af .NET webservere. Den alvorligste sårbarhed kan give en bruger med en ASP.NET konto mulighed for at øge sine rettigheder og udføre vilkårlige kommandoer, så det er et must at se nærmere på denne opdatering hvis man har berørte webservere.
En anden sårbarhed giver risiko for denial-of-service ved at skabe kollisioner i de hash strukturer serverapplikationen benytter. Denne sårbarhed er offentliggjort af det tyske sikkerhedsfirma n-runs og berører foruden ASP.NET osse Java, PHP, Ruby m.m.
Læs Microsofts bulletin MS11-100 her:
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
december 21, 2011 at 9:27 Firefox er udsendt i en ny major version - 9.0 - der indeholder 6 sikkerhedsopdateringer, hvoraf 4 er rettelse af kritiske sårbarheder der kan medføre remote kodeafvikling. Seneste version 9.0.1 er udsendt 21. december 2011.
Detaljer om sikkerhedsrettelserne her:
http://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox9
december 15, 2011 at 8:41 Google har 13. december 2011 udsendt version 16.0.912.63 af Chrome browseren med 15 sikkerhedsrettelser hvoraf 6 er kategoriseret som "High". 7 sårbarheder har resulteret i udbetaling af dusør til "opdagerne" - ialt 6000$.
Opdater til den ny version 16 - der er nemlig risiko for remote kodeafvikling på en del af sårbarhederne. Se mere her:
http://googlechromereleases.blogspot.com/2011/12/stable-channel-update.html
 |
COPYRIGHT 2011 © ESEC MANAGED SECURITY™ A/S | | | BAGSVÆRDVEJ 70B · DK-2800 LYNGBY | | | TLF. +45 7020 5585 | | | KONTAKT@ESEC.DK |
