Kommercielle spyware-leverandører stod bag 80 pct. af de 0-dagssårbarheder, som Googles Threat Analysis Group (TAG) opdagede i 2023, og brugte til at spionere på enheder verden over.
Det skriver Bleeping Computer på baggrund af en rapport fra Google.
Rapporten beskriver, hvordan at Googles Threat Analysis Group (TAG) har fulgt 40 kommercielle spyware-leverandørers aktiviteter. Dette for at opdage udnyttelsesforsøg og ’beskytte det bredere fællesskab’, hedder det.
Google har rettet 0-dagssårbarhed og udsendt en ’nødsikkerhedsopdatering’ for at imødegå igangværende udnyttelse.
Det skriver Bleeping Computer og The Hacker News onsdag morgen, og en række andre medier vil sandsynligvis følge trop. Sårbarheden har id’et CVE-2023-6345. En CVSS-score er ikke angivet endnu, men når der er tale om en ’remote code execution’-sårbarhed, som er under udnyttelse ’in-the-wild’, så er dens score i al fald ikke i den lave ende.
Apple har udsendt en sikkerhedsopdatering til iOS- og macOS, der adresserer sikkerhedsfejl, der pt. er under udnyttelse in-the-wild.
Det skriver Security Week og andre medier baseret på updates fra Apple. Security Week mener at vide, at der er tale om sårbarheder, der er under udnyttelse i kommercielle spywareprodukter. Dette sandsynliggøres af, at Citizen Lab har fundet en aktivt udnyttet 0-klikssårbarhed, som kunne bruges til at levere Pegasus Spyware på den nyeste version af iOS, dvs. version 16.6.
Progress har advaret sin MOVEit Transfer-kunder om at begrænse al HTTP-adgang til deres miljøer, efter at der er blevet delt oplysninger om en ny SQL-injektion (SQLi)-sårbarhed.
Det skriver Bleeping Computer med henvisning til en opdatering på Progress’ hjemmeside. Heri hedder det, at udnyttelse af sårbarheden kan føre til ’eskalerede privilegier og potentiel uautoriseret adgang til miljøet.’
En patch, der adresserer denne nye fejl, er endnu ikke tilgængelig, men er ifølge Progress i øjeblikket ved at blive testet og vil blive frigivet ’om kort tid’.
Kompromitteringen af Barracuda Networks sikkerhedsgateways til email (email security gateway, ESG) blev udført af en ny kinesisk APT-gruppe, som brugte tre forskellige bagdøre for at udnytte den nyligt opdagede 0-dagssårbarhed.
Det skriver Dark Reading og en række andre medier i artikler sidste uge, som derved følger op på historien om 0-dagssårbarheden i Barracuda. En sårbarhed med id’et CVE-2023-2868 og en score på 9,8, der angiveligt blev udnyttet i otte måneder, før den blev kendt og patchet.
Angribere udnytter pt. aktivt en 0-dagssårbarhed i en filoverførselssoftware fra MOVEit Transfer til at stjæle data fra organisationer.
Det skriver Bleeping Computer.
MOVEit Transfer er en administreret filoverførsel (MFT)-løsning, som er udviklet af USA-baserede Progress Software Corporation. Den giver organisationer mulighed for sikkert at overføre filer til samarbejdspartnere ved hjælp af SFTP, SCP og HTTP-baserede uploads. Løsningen tilbydes både som on-premise og som en cloudbaseret SaaS-platform.
Apple har torsdag rettet tre 0-dagssårbarheder, som har været anvendt i angreb mod iPhone, Mac og iPad.
Det skriver Bleeping Computer og en række andre medier. Der er tale om tre selvstændige CVE-numre med id’erne CVE-2023-32409, CVE-2023-28204 og CVE-2023-32373. De påvirkede produkter er hhv. iPhone 8 og nyere. iPad Pro (alle), iPad Air 3rd Generation og nyere, iPad 5th generation og nyere og iPad mini 5th generation og nyere, iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), iPod touch (7th generation)
Google advarer om, at der er fundet en ny 0-dagssårbarhed i Chrome. Det skriver Security Week.
Sårbarheden har id’et CVE-2023-2136 og betegnes som et ’integer overflow issue’ i Skia. Google skriver i sin advisory, at man er bevidst om exploits af sårbarheden in-the-wild. CVE-2023-2136 er den anden 0-dags sårbarhed, der er rettet i Chrome i år, efter et ’type confusion issue’ i V8 JavaScript engine (CVE-2023-2033) blev rettet i forbindelse med en nødpatch i sidste uge.
Google har udsendt sikkerhedsopdatering for at rette en ny 0-dages sårbarhed i Chrome-webbrowseren.
Det skriver Bleeping Computer og Security Affairs.
Sårbarheden har id’et CVE-2022-4262 og skyldes en 'type confusion' i Chrome V8 JavaScript-motoren. CVSS-score er endnu ikke tilgængelig.
Ifølge Mitre kan den slags sårbarheder generelt føre til nedbrud af browseren ved at læse eller skrive hukommelse uden for buffergrænserne. Den kan dog også udnyttes til vilkårlig kodeudførelse.
