Bedst som proof-of-concept er offentliggjort på ’gamle’ sårbarheder i Zyxel-produkter, har Zyxel udsendt nye softwareopdateringer for at rette to kritiske sikkerhedsfejl, der påvirker udvalgte firewall- og VPN-produkter. Udnyttelse af fejlene kan misbruges af fjernangribere til at opnå rettigheder til at afvikle kode. Det skriver The Hacker News.
Begge fejl, som har fået id’erne CVE-2023-33009 og CVE-2023-33010, er ’buffer overflow’-sårbarheder, der har fået scoren 9,8 ud af 10 på CVSS-skalaen.
Cisco advarer kunder om fire kritiske sårbarheder, der kan udnyttes fra 'remote'. Udnyttelse giver uautoriserede angribere mulighed for at afvikle kode med root-rettigheder på sårbare enheder. Der er allerede offentliggjort eksempler på, hvordan sårbarheden udnyttes, Sårbarheden påvirker flere Switche i 'Small Business'-serien.
En angriber kan udnytte sårbarhederne ved at sende specielt udformede forespørgsler til webgrænsefladen. Følgende enheder er sårbare:
Der er fundet en række række kritiske sårbarheder i Google Chrome. Det fremgår af en række sårbarhedsdatabaser, herunder Vulners.com på baggrund af en release-meddelelse fra Google. En ondsindet aktør kan potentielt udnytte disse sårbarheder til at eksekvere vilkårlig kode på systemer. Der er specifikt tale om seks sårbarheder med følgende CVE’er, der alle har en CVSS-score på 8,8.
Den tyske producent af virksomhedsløsninger SAP har i sidste uge udgivet 18 nye advisories vedrørende patch-dagen for maj 2023. To af dem omhandler kritiske sårbarheder. Det skriver Security Week.
Den mest alvorlige sårbarhed har id’et CVE-2021-44152 (CVSS-score på 9,8). Det er en ukorrekt godkendelsesstjek, der kan gøre det muligt for en uautoriseret hacker at ændre adgangskoden til enhver brugerkonto.
Apple udgav mandag sin første batch af offentligt tilgængelige ’rapid security patches’. Målet med denne nye feature er hurtigt at rette sikkerhedssårbarheder, der er under aktiv udnyttelse, eller som udgør 'betydelige risici for' brugere af Apples produkter.
Det skriver Tech Crunch.
Ifølge en meddelelse fra Apple kommer de såkaldte rapid security-opdateringer med ’vigtige sikkerhedsforbedringer mellem softwareopdateringer.’
Google har i denne uge udsendt version 113 af Chrome. Med denne kommer der 15 sikkerhedsrettelser, inklusive patches til 10 sårbarheder, som er rapporteret af researchere uden for Google-systemet. Det skriver Security Week.
Sårbarhederne i denne omgang ligger i den bløde ende. dvs. under 7 på CVSS-scalaen. Alligevel har fundet udløst over 30.000 dollar i bug-bounty-dusør.
GitHub har gjort funktion til rapportering af sårbarheder i open source-depoter tilgængelig for alle projektejere.
Det skriver Help Net Security på baggrund af en advisory fra GitHub.
Funktionen har hidtil kun været tilgængelig i en betafunktion – men trods det, har ’vedligeholdere’ fra mere end 30.000 organisationer alligevel aktiveret privat sårbarhedsrapportering på mere end 180.000 depoter siden november 2022. Det har affødt mere end 1000 meddelelser fra sikkerhedsresearchere.
Producenten af netværksudstyr Zyxel har udgivet patches til en kritisk sikkerhedsfejl i sine firewall-enheder. Fejlen er kritisk, da den kan udnyttes til at opnå fjernafvikling af kode på berørte systemer. Dvs. en remote code execution-sårbarhed.
VMware har udgivet sikkerhedsopdatering bl.a. til håndtering af to 0-dagssårbarheder. Det skriver Bleeping Computer og Security Affairs på baggrund af en advisory fra VMware. Sårbarhederne har id’erne CVE-2023-20869 og CVE-2023-20870 og en CVSS-score på hhv. 9, 3 og 7,1.
CVE-2023-20869 er en ’stack buffer overflow'-sårbarhed og kan udnyttes af en lokal angriber til at afvikle kode, da den virtuelle maskines VMX-proces kører på hosten.
