Adobe har udsendt en lang række sikkerhedsopdateringer, der adresserer mindst 30 Acrobat- og Reader-sårbarheder relevante for Windows- og macOS-brugere.
Det skriver Security Week i en omtale af Adobes egen Patch Tuesday.
I forbindelse med opdateringen advarer Adobe om, at vellykket udnyttelse kan føre til afvikling af vilkårlig kode, lækage af hukommelse, omgåelse af sikkerhedsfunktioner og angreb med denial-of-service. Men der er ifølge Adobe ikke kendskab til udnyttelse in-the-wild.
Apple har udsendt sikkerhedsopdateringer til håndtering af 0-dagssårbarheder, der udnyttes i angreb rettet mod iPhones, Macs og iPads.
Det skriver Bleeping Computer og en række andre medier.
En af fejlene har id’et CVE-2023-37450 og en CVSS-score på 8,8. Det er en Webkitfejl, der er håndteret tidligere på måneden som en del af det nye ’Rapid Security Response’-koncept, som Apple lancerede først på året i et forsøg på at udrulle opdateringer hurtigere og for at gøre opmærksom på vigtigheden af at installere opdateringer, når de er tilgængelige.
CISA har i sidste uge advaret om cyberangreb mod Citrix-servere, hvor der udnyttes en kritisk sårbarhed. Det skriver Security Affairs og Bleeping Computer på baggrund af en advisory fra CISA. Der er tale om en sårbarhed med id’et CVE-2023-3519 og en score på 9,8. Det er en code injection-sårbarhed, som kan udnyttes til afvikling af kode ’remote’.
Opdateringerne til Junos OS og Junos OS Evolved inkludere også patches til 17 andre fejl i PHP kode, Message Queuing Telemetry Transport (MQTT) og NTP, inklusive nogle sårbarheder, der har været offentlig kendte i årevis.
To af PHP-fejlene, registreret som CVE-2021-21708 og CVE-2022-31627, er klassificeret som "kritisk alvorlighed". Otte andre fejl (fire i PHP, to i MQTT og to i NTP) er klassificeret med høj alvorlighed.
Google har her i juli udsendt sikkerhedsopdateringer til Android, der retter 46 sårbarheder, hvoraf tre er udnyttet in-the-wild. Det skriver Bleeping Computer og Security Week m.fl. på baggrund af en sikkerhedsbulletin fra Google.
Trusselaktører er i gang med at udnytte en kritisk WordPress 0-dagssårbarhed i et plugin. Denne gang er en sårbarhed i det såkaldte Ultimate Member-plugin, som kan anvendes til at oprette administratorkonti. De kan så bruges til at tage fuld kontrol over webstederne.
Fejlen har id’et CVE-2023-3460 og en CVSS-score på 9,8.
MITRE har publiceret dette års liste over de 25 mest farlige sårbarheder, der har plaget software i løbet af de foregående to år. Der skriver Bleeping Computer.
Listen er lavet ud fra en analyse af 43.996 CVE-numre, som er udstillet i 2021 og 2022 på National Vulnerability Database med fokus på antallet af sårbarhedstyper, der ligger i CISA's Known Expabilities (KEV) katalog. Altså sårbarheder, som en kendt som værende under udnyttelse
Google har i denne uge sendt en ny Chrome 114 på gaden med rettelse af i alt fire sårbarheder, hvoraf tre alvorlige er rapporteret af eksterne researchere. Det skriver Security Week.
De tre sårbarheder har id’erne CVE-2023-3420, CVE-2023-3421 og CVE-2023-3422 og er hhv. en Type Confusion i V8-motoren og en ’Use after free’ i Media og Guest View. Fundet af de tre sårbarheder har kastet en samlet belønning på 35.000 dollar af sig, hvoraf den mest værdifulde ’kostede’ Google 20.000 dollar.
Fortinet skal for anden gang på mindre end en måned rette en kritisk sårbarhed i produktporteføljen. Det må konstateres, efter at Fortinet har opdateret sin FortiNAC-løsning for adressere en kritisk sårbarhed, der gør det muligt for angribere at afvikle kode og kommandoer.
Det skriver Security Affairs og Bleeping Computer på baggrund af en advisory fra FortiGuard Labs.
