Cisco informerede torsdag sine kunder om, at der arbejdes på patches til en alvorlig sårbarhed, der påvirker nogle af Ciscos IP-telefoner. Det skriver Security Week.
Fejlen har id’et CVE-2022-20968 og en CVSS-score på 8,1. Den påvirker Cisco IP-telefoner i 7800-serien og 8800-serien (undtagen 8821). Der er ingen tilgængelige opdateringsløsninger, men Cisco har oplyst en afbødningsmetode, som kan bruges, indtil patchet er tilgængeligt.
25 Lenovo notebook-modeller er sårbare over for ondsindede angreb, der kan deaktivere UEFIs bootproces og derefter køre usignerede UEFI-apps eller indlæse bootloadere. Det skriver Ars Technica på baggrund af en melding på Twitter fra sikkerhedsvirksomheden ESET.
Tweetet kommer (i det der ligner en koordineret kommunikationsindsats), samtidig med at Lenovo har udgivet sikkerhedsopdateringer til 25 modeller, herunder ThinkPads, Yoga Slims og IdeaPads.
Google har udsendt rettelser til i alt 10 sikkerhedssårbarheder i Chrome, hvoraf nogle ved udnyttelse kan gøre det muligt for fjernangribere at få en pc til at crashe. Det skriver Zdnet.
Der er tale om opdateringer til Chrome-browser på Windows, Mac og Linux. Som vanligt tilbageholder Chrome detaljer om sårbarhederne, indtil de fleste brugere har implementeret opdateringerne. Google angiver dog, at sårbarhedernes grad af alvorlighed er ’high’. I praksis betyder det på Googlesprog, at opdateringerne bør anvendes så hurtigt som muligt.
Citrix opfordrer sine kunder til at installere sikkerhedsopdateringer for kritiske sårbarheder, der bl.a. vedrører omgåelse af autentificering i Citrix ADC og Citrix Gateway.
Det skriver Bleeping Computer på baggrund af en sikkerhedsbulletin fra Citrix. Bulletinen omtaler tre sårbarheder med hver sit CVE-nummer, der under ’specifikke konfigurationer’ kan gøre det muligt for angribere at få uautoriseret adgang til en enhed, gennemføre overtagelse af fjernskrivebord eller omgå brute force-beskyttelsen på login.
Cisco har offentliggjort advisories til Cisco Identity Services Engine-løsninger om to sårbarheder, der kan udnyttes til hhv. at læse og slette filer på en berørt enhed og til at udføre vilkårlig script eller få adgang til følsomme oplysninger.
Det skriver Help Net Security.
De to sårbarheder har id’erne CVE-2022-20822 og CVE-2022-20959 og CVSS-score på hhv. 7,1 og 6,1.
De tre amerikanske sikkerhedsmyndigheder - CISA, FBI og NSA – har offentliggjort en liste over 20 sårbarheder, der er mest udnyttet af statssponserede kinesiske trusselsaktører siden 2020.
Det skriver en række medier, herunder The Register.
Cisco har rettet rettet potentielt alvorlige sårbarheder i nogle af sine netværks- og kommunikationsprodukter, herunder Enterprise NFV, Expressway og TelePresence.
Det skriver Security Week og Security Affairs på baggrund af udsendte advisories.
Cisco har i forbindelse med sin september patch afdækket og rettet alvorlige fejl, hvoraf de fleste påvirker dets IOS XE-operativsystem. Det skriver Itnews.
En lang række af sårbarhederne muliggør forskellige former for denial-of-service. I alt er der publiceret ni CVE-numre, hvis udnyttelse altså kan medføre problemer med tilgængelighed. CVSS-scoren for de ni CVE’er ligger mellem 7,4 og 8.6
Tre af fejlene vedrører afvikling af vilkårlig kode. Scoren for disse ligger mellem 6,1 og 7,9.
