Sju sårbarheter, varav tre klassas som kritiska, har upptäckts och åtgärdats i det populära nätverksverktyget dnsmasq som används i miljontals enheter över flera plattformar. Buggarna upptäcktes efter en genomgång av säkerhetsforskare på Google.

– Det som är lite läskigt är att dnsmasq används ofta i små inbyggda system. Många routrar, nätverksenheter och alla möjliga sorters små inbyggda Linux-system har en sådan här för att hantera dns och dhcp, säger säkerhetsexperten Leif Nixon på Nixon Security.

Dnsmasq finns i många routrar på konsumentmarknaden, i Linux-distributioner som Ubuntu, Redhat och Debian och förstås otaliga prylar i internet of things. Mjukvaran är också inbyggd i operativsystemet Android och Kubernetes containermjukvara.

Läs också: Många Macar har allvarliga säkerhetshål i sin firmware

En sökning på Shodan visar att det finns knappt 1,1 miljoner uppkopplade enheter med dnsmasq i denna stund, nästan samtliga med sårbara versioner. Nästan 4 000 av dem är belägna i Sverige.

Vissa av buggarna är så allvarliga att en hackare kan använda dem för att ta kontroll över sårbara system som är uppkopplade mot nätet. Kör din router en sårbar version av mjukvaran skulle en hackare kunna spionera på eller kapa all din internettrafik.

Den sårbarheten är visserligen inte helt enkel att utnyttja, eftersom den kräver att man kan få mjukvaran att ta emot dns-förfrågningar med skadlig kod. Men därmed inte sagt att den är ofarlig.

– Man måste på något sätt få enheten att ställa dns-frågor och det finns många olika omständigheter där det kan inträffa men det är inte så att bara för att man kan nå en enhet över nätet kan man hacka den, säger Leif Nixon.

Enligt Dnsmasqs skapare Simon Kelley är buggarna "förhistoriska" och går att hitta på i stort sett alla versioner av mjukvaran. Han har nu släpps version 2.7.8 som täpper till säkerhetshålen.

Läs också: De bästa hackarna har inga fotavtryck – så fungerar fillösa dataintrång

Google har lagt in uppdateringar för Android i senaste säkerhetspatchen, och släppt flera rättade versioner av Kubernetes.

Men i vanlig ordning kommer många enheter att gå utan patchar. Android-enheter som kör en tidigare version av operativsystemet än 4.4.4 kommer sannolikt aldrig säkras, och vi ska väl inte ens tala om de många enheter i internet of things som aldrig får några uppdateringar från tillverkarna.

– Just den här typen av enheter är sådana som inte uppdateras särskilt ofta eller kanske inte ens går att uppdatera. De finns dessutom utspridda på så många ställen att det är svårt att ens ha koll på var i nätverken de finns, säger Leif Nixon.