Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 15 January 2020

2020.01.15 - Nyhetsbrev

Microsoft tetter alvorlige svakheter i sikkerhetsoppdatering for januar. Oracle gir ut hele 334 patcher i kvartalsvis sikkerhetsoppdatering. Apple nekter å bygge inn bakdør i iPhone. Microsoft har gitt ut de siste patcher for Windows 7. Sikkerhetsoppdateringer fra Intel for en rekke produkter. Datingnettstedene Grindr, OkCupid, og Tinder bryter GDPR iflg. udersøkelse utført av Forbrukerrådet. Svakhet for lokal rettighetseskalering avslørt i VMware Tools for Windows. Google planlegger å fase ut tracking cookies og user-agent strings.

Microsoft tetter alvorlige svakheter i månedlig sikkerhetsoppdatering

Microsoft har sluppet sin månedlige oppdatering for januar. Denne gangen er det 49 oppdateringer, hvorav 7 anses som kritiske. Spesiell oppmerksomhet bør vies CVE-2020-0601, som befinner seg i Windows sitt CryptoAPI (Crypt32.dll), og omhandler en alvorlig svakhet relatert til verifisering av ECC-sertifikater. Svakheten kan utnyttes til å signere filer vha. forfalskede sertifikater slik at de fremstår som signert av en troverdig kilde. Svakheten kan også utnyttes til å utføre man-in-the-middle angrep og dekryptere kryptert kommunikasjon.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]

Oracle gir ut 334 patcher i deres kvartalsvise sikkerhetsoppdatering

Oracle har sluppet sin kvartalsvise sikkerhetsoppdatering. Denne gangen er det hele 334 patcher/svakheter som adresseres. Se referanse for mer utdypende informasjon.
Referanser
https://www.oracle.com/security-alerts/cpujan[...]

Apple nekter å bygge inn bakdør i iPhone

Justisministeren William Barr har bedt Apple om å låse opp telefonen som tilhørte mannen som angivelig står bak skyteepisoden i Pensacola, Florida. Det er per i dag ikke mulig for Apple å dekryptere innholdet på telefonen, og selskapet nekter å installere en bakdør som vil gjøre det mulig for etterretnings-organisasjoner å gjøre det ved fremtidige anledninger. De legger vekt på at det ikke er mulig å designe en bakdør uten å risikere at denne kan misbrukes av andre som utgjør en trussel for nasjonal sikkerhet.
Referanser
https://www.inputmag.com/culture/apple-respon[...]
https://www.inputmag.com/culture/attorney-gen[...]

Microsoft har gitt ut de aller siste patchene for Windows 7

Med tirsdagens patchedag for Microsoft-produkter er det nå End-of-Life for patching til Windows 7. Det finnes fortsatt millioner av maskiner som ikke er oppgradert og som dermed vil være sårbare for sikkerhetssvakheter som fikses fremover. Det anbefales å jobbe mot å oppdatere til Windows 10 så snart som mulig, selv om det for bedrifter er mulig å kjøpe utvidet Windows 7 sikkerhetsstøtte i perioden fremover.
Referanser
https://www.microsoft.com/en-us/windows/windo[...]

Sikkerhetsoppdateringer fra Intel

Intel har gitt ut sikkerhetsoppdateringer for en rekke produkter, inkl. grafikk-driverne for de fleste nyere prosessorer. Svakhetene kan bl.a. utnyttes til lokal rettighetseskalering og uautorisert tilgang til informasjon. Blant de andre produktene finner man bl.a. VTune Amplifier for Windows, Data Analytics Acceleration Library (DAAL) og RAID Web Console (RWC) 3 for Windows.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Grindr, OkCupid, og Tinder bryter GDPR iflg. Forbrukerrådet-undersøkelse

Datingtjenestene Grindr, OkCupid, og Tinder blir, i en undersøkelse utført av Forbrukerrådet, beskyldt for å dele brukerinformasjon med reklame-selskaper på en måte som bryter med personvernlovgivning/GDPR.
Referanser
https://www.zdnet.com/article/study-says-grin[...]
https://www.forbrukerradet.no/siste-nytt/anno[...]

Lokal rettighetseskalering i VMware Tools

Det har blitt påvist en race-condition svakhet i VMware Tools for Windows version versjon 10.x.y. Svakheten kan utnyttes av en eksisterende bruker til å tilegne seg eskalerte rettigheter på et Windows VM. Svakheten er fikset i VMware Tools versjon 11.0 og nyere.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Google planlegger å fase ut tracking cookies og user-agent strings

I en uttalelse melder Google at de ønsker å styrke kundenes personvern ved å begrense mulighetene for å spore enkeltpersoner på tvers av nettsteder. De skal blant annet fase ut User-Agent (UA) strings og tracking cookies over en periode på to år. Teknisk direktør for Google, Justin Schuh, sier at det vil ta tid å innføre endringene, da nettsteder som i dag er avhengig av teknologien trenger tid til å forberede seg på en overgang. Google nevner ikke om de kommer til å endre hvordan de selv utfører datainnsamling per i dag.
Referanser
https://www.nbcnews.com/tech/tech-news/cookie[...]
https://www.zdnet.com/article/google-to-phase[...]

Sikkerhetshull i Citrix ADC og Citrix Gateway

Et sikkerhetshull i Citrix ADC og Citrix Gateway har nylig fått publisert en åpen Exploit, som gjør at man kan bla i filsystemet ved hjelp av adressefeltet i nettleseren. Det finnes foreløpig ingen patch for svakheten, men det anbefales på det sterkeste å begrense muligheten til å utnytte svakheten ved å følge oppskriften fra Citrix. Mange bedrifter og offentlige institusjoner i Norge er dessverre fortsatt sårbare for denne svakheten.
Anbefaling
Utfør disse begrensningene beskrevet av Citrix: https://support.citrix.com/article/CTX267679
Referanser
https://support.citrix.com/article/CTX267027
http://packetstormsecurity.com/files/155947
https://www.theregister.co.uk/2020/01/13/secu[...]

Posted by tsoc at 13:35

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

Subscribe to: Post Comments (Atom)
 
>