Rekordmange feilrettinger fra Microsoft

Adobe fjernet i alt 18 sikkerhetstrusler i Adobe Flash Player, mens Microsoft fulgte opp med 14 feilrettinger knyttet til sikkerhetstrusler mot Windows, Office og Internet Explorer.

Kritiske feil

Fire av feilretting fra Microsoft var rangert som «kritiske feil», som er øverste nivå.

Disse fire kritiske feilrettingene var av typen der angriperne ville kunne fjernstyre kjøringen av programvare på datasystemet som var under angrep. Tidligere har slike angrep brakt med seg id-tyveri eller at pc-ene som er blitt angrepet, er blitt brukt til å videresende spam.

Microsoft har gjort én tirsdag i måneden til den faste dagen for å legge ut feilrettinger. 14 «tirsdags-feilrettinger» på én gang er ny rekord ikke bare for 2014, men også for 2013, ifølge IDGs nyhetstjeneste.

Adobe blokkerer for innsyn

15 av Adobes feilrettinger gjelder sårbarhet som kan føre til avvik i kodekjøringen, mens en av feilrettingene skal blokkere for innsyn i sesjons-id-en og de to siste skal gjøre det vanskeligere for en inntrenger å oppgradere sine privilegier fra lavt til middels integritetsnivå.

Adobe oppfordrer nå sine Windows- og Mac-brukere til å oppgradere til Flash Player versjon 15.0.0.223. Linix-brukere bør bytte til versjon 11.2.202.418.

Flash Player Extended Support Release, som er basert på Flash Player 13, er oppgradert til versjon 13.0.0.252.

I tillegg har Adobe oppdatert Adobe AIR-rammeverket og -utviklerløsningen til versjon 15.0.0.356.

Mange av sikkerhetsfeilene i Adobe Flash Player er oppdaget av sikkerhetseksperter fra Google, Microsoft, McAfee og Trend Micro, ifølge IDGs nyhetstjeneste.

Adobe er ikke kjent med at noen av sikkerhetshullene som nå er tettet, har vært benyttet til virkelige angrep.

Hvor farlig er Masque Attack?

Samtidig raser debatten om hvor farlig den nye sikkerhetstrusselen mot Apple-plattformen, «Masque Attack» , egentlig er.

Sikkerhetsselskapet FireEye i California hevder at det meldte fra til Apple allerede 26. juli om at det hadde oppdaget en ny sikkerhetstrussel som selskapet hadde valgt å kalle «Masque Attack».

Angrepet skal bestå i at brukeren av en iOS-enhet - en iPhone eller iPad - lures til å laste ned ny eller oppdatert programvare fra et tredjeparts-nettsted. I bakgrunnen smugles det da inn andre apper som overtar kontrollen over en del funksjoner og for eksempel sender hele e-postboksen over til hackerne.

På nettstedet 9TO5Mac debatteres det heftig om dette er en alvorlig sikkerhetstrussel eller ikke.

Det ser ut til å være ganske mange forhold som må inntreffe samtidig for at man skal bli utsatt fra et slik angrep, og for iOS-brukere flest er det neppe noen fare på ferde.

For det første må man jobbe i en bedrift der bedriftsledelsen har valgt å få utviklet bedriftsspesfikke apper som de ansatte kan laste ned utenom Apples nettbutikk, App Store. En vanlig iOS-bruker som ikke har jailbreaket sin iPhone eller iPad, er tvunget til å kjøpe eller laste ned sine apper fra App Store, der Apple kjører et strengt sikkerhetsregime.

For det andre må bedriftens sertifikat for å signere og godkjenne bedrifts-spesifikke apper være hacket, noe det angivelig skal være ganske liten sjanse for.

Og for det tredje må iOS-brukeren trosse alle advarsler som it-brukere er blitt eksponert for i mange år nå om ikke å tro på alle slags meldinger man mottar, spesielt ikke tvilsomme SMS-meldinger fra ukjent kilde, og ikke å ta imot oppdateringer via tredjeparts-nettsteder som man blir dirigert til.

Samtidig inneholder debatten også en god del kritikk mot Apple, som blir beskylt for å ha sikret bedriftene altfor dårlig mot brukernes uvitenhet og naivitet når det gjelder å hente ny programvare og oppdateringer.