Flere kritiske feil er avdekket i Network Time Protocol (NTP), som svært mange IT-systemer benytter for å holde seg synkronisert mot verdens atomur.
Sårbarhetene (CVE-2014-9295) er av typen bufferoverflytsfeil og lar seg utnytte i fjernangrep over internett.
– Det foreligger angrepskode som lar uvedkommende eksekvere vilkårlig kode med de samme rettighetene som NTPd-prosessen kjører med, advarer amerikanske myndigheter i et notat.
Ifølge Telenors sikkerhetsavdeling TSOC kan sårbarhetene også utnyttes i tjenestenektangrep.
Anbefalingen er å straks oppgradere til NTP versjon 4.2.8, som ble utgitt for noen dager siden.
Siste versjon retter to av de mest kritiske feilene i protokollen. Ytterligere to mindre alvorlige forhold skal etter planen fikses i en kommende oppdatering som vil foreligge neste måned, opplyser NTP.org i en kunngjøring.
Det er Googles sikkerhetsforskere Neel Mehta og Stephen Roettger som krediteres for å ha oppdaget sårbarhetene.
NTP blir særlig brukt av UNIX-lignende plattformer, inkludert men ikke begrenset til industrielle kontrollsystemer, Linux og Mac OS X. Iallfall noen Linux-distribusjoner skal allerede ha lappesaker tilgjengelig, men ikke alle.
Apple slapp i går en sikkerhetsoppdatering som skal verne mot truslene. Alle med Mac OS X 10.10 Yosemite, 10.9 Mavericks og 10.8 Mountain Lion blir oppfordret til å straks installere oppdateringen.
