Microsoft har sluppet 8 oppdateringer for oktober, deriblant MS14-060 som fikser gårsdagens omtalte zero-day svakhet i Office.
Google har avslørt en alvorlig sårbarhet for SSLv3, kalt "Poodle". Svakheten kan gjøre det mulig for en angriper å utføre et "Mannen-I-Midten" angrep mot en SSLv3 kryptert forbindelse, og således lese innholdet.
Oracle har sluppet oppdateringer for tredje kvartal, som fikser hele 154 svakheter og bugs i en rekke produkter.
Adobe oppdaterer Flash Player og ColdFusion.
Microsoft har sluppet oppdateringer for oktober
| Microsoft slapp i går kveld 8 oppdateringer som retter 24 svakheter i Windows, Office, .NET Framework, .ASP.NET og Internet Explorer. Tre av oppdateringene er rangert som kritiske og fem som viktige. MS14-060 fikser gårsdagens omtalte zero-day svakhet i Office som skal ha blitt benyttet i angrep mot bl.a. NATO og Ukraina i august 2014. Det skal også nevnes at MS14-058 fikser to andre svakheter som også skal ha blitt benyttet i målrettede angrep en viss tid. Mer info om dette under. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
https://technet.microsoft.com/library/securit[...] http://www.fireeye.com/blog/technical/targete[...] http://blog.crowdstrike.com/crowdstrike-disco[...] |
Adobe oppdaterer Flash Player
| Adobe har sluppet oppdatering for Flash Player. Oppdateringen omfatter alle plattformer og retter tre svakheter rangert som kritiske. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
http://helpx.adobe.com/security/products/flas[...] |
Oracle har sluppet oppdateringer for tredje kvartal
| Oracle har publisert oppdateringer for Oktober. Oppdateringene, rangert som kritiske, retter 154 svakheter og omfatter en rekke produkter bl.a. Java, Oracle Database og Oracle Fusion Middleware. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
http://www.oracle.com/technetwork/topics/secu[...] https://blogs.oracle.com/security/entry/octob[...] |
Adobe oppdaterer ColdFusion
| Adobe har sluppet en "Hotfix" oppdatering for ColdFusion. Oppdateringen omfatter alle plattformer og retter tre svakheter rangert som viktige. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
http://helpx.adobe.com/security/products/cold[...] |
Google avslører sårbarhet i SSL v.3.0
| Google har avslørt en sårbarhet, som har fått kallenavnet "Poodle", for SSL 3.0 som gjør det mulig for en angriper med tilgang til trafikken å lese innholdet i en SSL 3.0-sikret tilkobling. Til tross for at SSL 3.0 er en 15 år gammel protokoll er svakheten alvorlig, på grunn av at de fleste nettlesere faller tilbake på SSL 3.0 ved mislykkede forsøk på å bruke nyere SSL (TLS)-versjoner. En angriper kan derfor forårsake en tilkoblingsfeil og dermed tvinge nettleseren ned til den sårbare versjonen. Iflg. Google er èn måte å beskytte seg på å deaktivere SSL 3.0. Dette kan imidlertid skape en del kompatibilitetsproblemer. Derfor anbefales det heller å benytte seg av nettlesere/applikasjoner som støtter mekanismen TLS_FALLBACK_SCSV. I praksis anser vi sannsynligheten for at man blir angrepet av denne svakheten som liten, da angriperen trenger tilgang til den krypterte trafikken. Det gjelder som vanlig å holde seg unna usikrede trådløse nettverk. En annen angrepsvektor er via kompromitterte hjemmeroutere. Både Google og FireFox har opplyst at de planlegger å droppe støtte for SSL v3.0 i løpet av få måneder. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
http://googleonlinesecurity.blogspot.no/2014/[...] https://www.imperialviolet.org/2014/10/14/poo[...] https://www.openssl.org/~bodo/ssl-poodle.pdf |