0-dagssårbarhed

Google har udsendt en ny version af Chrome til Windows, Mac og Linux, der adresserer en alvorlig nul-dages sårbarhed, der angiveligt bruges af trusselsaktører i angreb. Det skriver Bleeping Computer.

Sårbarheden har fået id'et CVE-2022-24086 og en CVSS-score på 9,8 ud af 10. Den er blevet karakteriseret som et inputvalideringproblem, som udnyttes til eksekvering af uautoriseret kode.

Det er også en præ-autentifikationsfejl, hvilket betyder, at der kan opnås uautoriseret adgang uden legitim autentifikation.

Fejlen påvirker Adobe Commerce og Magento Open Source 2.4.3-p1 og tidligere versioner samt 2.3.7-p2 og tidligere versioner. Adobe Commerce 2.3.3 og lavere er ikke sårbare.

Links:

Der har været en stigning på 29 pct i antallet af sårbarheder, der udnyttes af ransomware-grupper til at kompromittere deres mål. Det skriver Info Security Magazine i en artikel med henvisning til ny brancherapport - Ransomware Spotlight – som er skrevet af sikkerhedsvirksomhederne Ivanti og Cyware sammen med Cyber ​​Security Works. Cyber ​​Security Works er en såkaldt CVE numbering authority, dvs. en organisation/virksomhed der er bemyndiget til at give sårbarheder et id-nummer, det såkaldte CVE-nummer, og indsende dem til offentliggørelse på National Vulnerability Database (NVD).

Apple sendte sent onsdag en iOS-opdatering ud med rettelser til 11 dokumenterede sikkerhedsfejl. Det skriver Security Week og en række andre medier. Samtidig med opdateringen advarer Apple om, at en af ​​sårbarhederne kan være blevet aktivt udnyttet. 

Fejlen, der har id’et CVE-2022-22587, har fået en relativ høj score på CVSS-skalaen, nemlig 7.8.

Mens mange af verdens systemadministratorer har travlt med at håndtere Log4Shell-sårbarheden i Apache, har Microsoft gennemført sin månedlige Patch Tuesday. I alt er der rettet 67 sårbarheder, hvor af en af dem har været en 0-dagssårbarhed – en spoofing-sårbarhed i Microsoft Windows AppX installer.

Apache Foundation har udgivet en ny version af log4j. Det fremgår af en opdatering på https://logging.apache.org/, der blev udsendt mandag den 13. december sidst på dagen centraleuropæisk tid. Dermed har Apache rykket hurtigt med en ny version, efter at version 2.15.0 blev udsendt i sidste uge som en reaktion på sårbarheden i version 2.14.1.

DKCERT anbefaler systemadministratorer at orientere sig i meddelelsen fra Apache og vurdere relevansen af opdateringen i forhold til eget systemsetup.

Der er fundet en fejl i et softwareelement kaldet log4j fra Apache, der anvendes i en lang række produkter og services. Der er rapporter om, at fejlen forsøges udnyttes verden over, hvilket kan påvirke cybersikkerheden hos både professionelle og private brugere. Fejlen kan udnyttes af cyberkriminelle til at overtage en computer. Fejlen påvirker i primært grad servere, som kører de pågældende softwareprodukter.

På Github er der publiceret en liste over de softwareprodukter, der anvender log4j, og som kan være sårbare.

Apache har udsendt en patch til håndtering af Log4shell-sårbarheden. Patchet er i første omgang henvendt til producenter af enheder og softwareprodukter, der anvender log4j. Det betyder, at producenter af de pågældende produkter skal sikkerhedsopdatere og derefter udsende patches, som forbrugerne skal installere.

En lang række medier skriver her i weekenden om en alvorlig sårbarhed, der er fundet i Apache log4j, version 2.0 til 2.14.1, og som pt. udnyttes verden over til angreb på stort set alle enheder, der anvender produktet.  

Zoho opforder sine kunder om at opdatere deres ManageEngine server og implementere softwarerettelser. Det skriver The Hacker News.

Sårbarheden påvirker Zoho ManageEngine Desktop Central, som er en endpoint management løsning, som virksomheder bruger til at håndtere de ansattes enheder.