sårbarheder

USA's svar på Center for Cybersikkerhed, CISA (Cybersecurity and Infrastructure Security Agency) har udgivet en liste over omkring 300 sårbarheder, der vides at være blevet udnyttet. I forbindelse med udgivelsen har CISA udstedt et såkaldt bindende operationelt direktiv med en instruktion til føderale regeringsenheder om at rette op på sikkerhedsfejlene.

Google har udsendt en ny version af Chromebrowseren. I alt er der patchet 19 sårbarheder, hvoraf 16 rapporteret af eksterne researchere. Det skriver Security Week.

Det mest alvorlige sårbarhed er en ’heap buffer overflow’. Den udløste en betaling på 20.000 dollar til den researcher, der har fundet sårbarheden.

Oracle har udsendt sin opdatering for oktober 2021, der adresserer 419 sårbarheder på tværs af flere produkter. En fjernangriber kunne udnytte nogle af disse sårbarheder til at tage kontrol over et berørt system. Af Oracles advisory fremgår alle de produkter, der er udsendt opdateringer til. 

Brugere og administratorer opfordres til at gennemgå advisorien fra Oracle og implementere de nødvendige opdateringer.

Oracle udsender almindeligvis opdateringer hvert kvartal på den dag, der er tættest på den 17. i måneden. Den næste kommer den 18. januar 2022.'

Apache Software Foundation har udsendt version 2.4.51 af HTTP-webserveren, efter at researchere har opdaget, at en tidligere udsendt sikkerhedsopdatering ikke korrekt fixede en aktivt udnyttet sårbarhed. Det skriver Bleeping Computer.

Apache HTTP Server er en open-source, cross-platform webserver, der driver cirka 25% af websteder verden over.

Google har i sidste uge sendt en Android-opdatering på gaden med rettelser mere end 50 sårbarheder i operativsystemet.

Det skriver Security Week.

Den mest alvorlige fejl er et problem i Androids systemkomponent, der gør det muligt at udføre ’remote code execution’. Sårbarheden har id’et CVE-2021-0870, og det påvirker Android 8.1, 9, 10 og 11. Sårbarheden har fået ratingen ’critical’.

Andre fejl påvirker bl.a. Media Framework, Android Runtime, kernel komponenter mv.

Apache Software Foundation har udsendt version 2.4.50 af HTTP-webserveren for at imødegå to sårbarheder, hvoraf den ene aktivt udnyttes i øjeblikket. Det skriver Bleeping Computer.

Apache HTTP-serveren er en open-source, platformsuafhængig webserver, der som navnet antyder kan operere på flere forskellige platforme. Ifølge Bleeping Computer er webserveren ’alsidig, robust gratis og ekstremt populær’, hvorfor sårbarheder her kan have vidtrækkende konsekvenser.

Drupal har frigivet sikkerhedsopdateringer, der adresserer sårbarheder i Drupal 8.9, 9.1 og 9.2. En angriber kan potentielt udnytte nogle af sårbarhederne til overtage kontrollen med et system. Der er i al fem sårbarheder, som dels kan udnyttes ved cross-site request forgery (CSRF) eller 'access bypass'.

Et igangværende angreb på Office 365 har fået Microsoft til at udsende en vejledning i, hvordan risikoen for angreb afhjælpes. Dette indtil en evt. sikkerhedsopdatering er tilgængelig.

Microsoft har tirsdag meddelt, at en 'remote code execution'-sårbarhed pt. udnyttes i målrettede angreb mod Office 365 og Office 2019 på Windows 10. Det skriver Bleeping Computer og en række andre medier, ligesom CISA har udsendt en meddelelse om det.

Fejlen findes i MSHTML, browserens gengivelsesmotor, der også bruges af Microsoft Office -dokumenter. Sårbarheden har fået id’et CVE-2021-40444 og den påvirker Windows Server 2008 til 2019 og Windows 8.1 til og med 10. Sårbarheden har fået scoren 8,8 ud af de maksimale 10 på CVSS-skalaen.

Netgear har udsendt firmwareopdateringer til mange af sine ’smartswitches’, der bruges på virksomhedsnetværk. Det skriver Bleeping Computer.

Netgear har rettet tre sikkerhedsfejl, der påvirker 20 Netgear-produkter, hovedsagelig smartswitches. Sårbarhederne har fået en karakter på mellem 7,4 og 8,8 på CVSS-skalaen. Det fremgår af en advisory fra Netgear, at nogle af switchene har cloud management-funktioner, der gør det muligt at konfigurere og overvåge dem over internettet.