Google gir ut oppdatering til Android for november. Flere SSDer har store svakheter i innebygd disk-kryptering. Kritisk svakhet i Apache Struts. Ny multithreading-svakhet: PortSmash.
Google gir ut oppdatering til Android for november
| Google gir nå ut sikkerhetsoppdatering til Android for november. Oppdateringen skal blant annet inneholde fiks for tre svakheter som muliggjør fjerneksekvering av vilkårlig kode. To av disse svakhetene har blitt klassifisert som kritiske, og én av klassifisert som viktig. Alle disse tre svakhetene ble funnet i Android Media Framework. Svakhetene kan utnyttes ved at angriper sender ut en spesiallagd video eller multimedia-melding. I tillegg var det også to andre rettighetssvakheter i Media Framework som også var klassifisert som kritiske, som blir fikset av oppdateringen. Biblioteket Libxaac fikk utbedret hele 18 svakheter, noe som gjør at Google vil fjerne dette biblioteket fra Android i fremtiden. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://source.android.com/security/bulletin/[...] https://www.theregister.co.uk/2018/11/06/andr[...] |
Flere SSDer har store svakheter i innebygd disk-kryptering
| Mange SSDer kommer med maskinvarekryptering, noe som gjør at SSDen kan brukes til å kryptere innhold istedet for at dette blir gjort av programvare. Blant annet benytter Windows seg av dette og stoler på at SSDen står for krypteringen selv når Bitlocker blir brukt. Forskere ved Radbound Universitet har nå funnet ut at mange SSDer bruker en dårlig kryptingsimplementasjon. Crucial MX300 har for eksempel satt et tomt hovedpassord, noe som gjør det trivielt å få tak i det krypterte innholdet. Bitlocker kan bli fortalt at den ikke skal stole på maskinvarekryptering i SSDer og istedet bruke programvarekryptering. Dette kan imidlertid kun gjøres ved hjelp av Group Policy i Windows 10 Professional. Les mer om hvilke SSDer som er testet og de mange svakhetene i den nederste artikkelen under. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.howtogeek.com/fyi/you-cant-trust-[...] https://www.digi.no/artikler/sikkerhetsforske[...] https://www.ru.nl/english/news-agenda/news/vm[...] |
Kritisk svakhet i Apache Struts
| Teamet bak Apache Struts anbefaler å oppdatere Apache Struts 2.3.36 til å bruke nyeste versjon av Commons FileUpload Library som nå er på versjon 1.3.3. Dett er grunnet en svakhet i bilokteket som gjør det mulig for angriper å eksekvere kode på serveren. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppgrader til siste versjon | ||||
| Referanser | ||||
|
http://mail-archives.us.apache.org/mod_mbox/w[...] |
||||
Ny multithreading-svakhet: PortSmash
| Det har blitt oppdaget enda en svakhet i måten moderne CPUer utfører multithreading, denne har blitt kalt PortSmash. Svakheten gjør det mulig for en prosess å hente ut informasjon fra en annen prosess som blir eksekvert på samme fysiske kjerne. Alle brikker med SMT, inkludert Intel sin variant av det er utsatt. Som ved de andre svakhetene så anbefales det å slå av multithreading i BIOS for å motvirke svakheten. |
||||
| Anbefaling | ||||
|---|---|---|---|---|
| Disable multithreading i BIOS | ||||
| Referanser | ||||
|
https://threatpost.com/portsmash-side-channel[...] |
||||