sårbarhed

Researchere ved et vietnamesisk sikkerhedsfirma oplyser, at trusselsaktører er i gang med at udnytte endnu ikke afslørede Microsoft Exchange 0-dagsfejl til fjernafvikling af kode.

Det skriver Bleeping Computer med henvisning til en blogpost fra virksomheden GTSC.

En ny sårbarhed i Oracle Cloud Infrastructure (OCI) har muliggjort uautoriseret adgang til cloud storage-volumener for alle brugere. Det skriver Infosecurity Magazine på baggrund af en advisory, der er udkommet i denne uge.

Fejlen, der har fået navnet AttachMe, blev opdaget af sikkerhedsfirmaet Wiz’ cloud-sikkerhedseksperter i juni.

Atlassians sikkerhedsresponsteam advarer en kritisk command injection-fejl i deres Bitbucket Server og Data Center-produkt. Det skriver Security Week.

Sårbarheden har en CVSS-score på 9,9 ud af 10 og kan bruges til et angreb med ekstern afvikling af kode.

Systemadministratorer har nu endnu mindre tid til at rette sårbarheder end tidligere antaget. Det skriver Bleeping Computer efter at en ny rapport har afdækket, hvordan trusselsaktører scanner efter sårbare enheder inden for 15 minutter efter, at et ny CVE-nummer er blevet offentliggjort.

CVE-nummeret er det id-nummer, som en sårbarhed får hæftet på sig i forbindelse med offentliggørelse på National Vulnerability Database.

Flere sårbarheder i Cisco Nexus Dashboard kan give en hacker mulighed for at udføre vilkårlige kommandoer, læse eller uploade billedfiler samt udføre "cross-site request forgery attack" på tværs af websteder. Det skriver Security Week.

Rådgivning omkring softwareopdateringer findes på Ciscos hjemmeside (se nedenfor).

Links:

https://www.securityweek.com/cisco-patches-severe-vulnerabilities-nexus-dashboard

Google har udsendt version 103 af Chrome for at rette 14 sårbarheder. Det skriver Security Week.

Den mest alvorlige er en sårbarhed med id’et CVE-2022-2156, som anføres som værende kritisk og beskrives som en 'use after free'-sårbarhed.

Udnyttelse af use after free-sårbarheder kan føre til vilkårlig afvikling af kode, korruption af data eller denial-of-service. Hvis det kombineres med andre sikkerhedshuller, kan udnyttelsen føre til fuld kompromittering af systemer.

En sårbarhed er blevet afsløret i et Linux-systemværktøj kaldet Polkit. Det skriver The Hacker News.

Sårbarheden giver angribere root-privilegier på Linux-systemer. Ifølge cybersikkerhedsfirmaet Qualys påvirker svagheden en komponent i Polkit kaldet pkexec. Det er et program, der er installeret som standard på alle større Linux-distributioner såsom Ubuntu, Debian, Fedora og CentOS.

Proof-of-concept exploitkode er blevet frigivet for en aktivt udnyttet, alvorlig sårbarhed, der påvirker Microsoft Exchange-servere. Det skriver Bleeping Computer.

Hvis angribere formår at udnytte sårbarheden, får de mulighed for at afvikle kode eksternt på sårbare Exchange-servere.

Fejlen med id’et CVE-2021-42321, der påvirker Exchange Server 2016 og Exchange Server 2019, blev rettet af Microsoft under denne måneds Patch Tuesday, men da ikke alle opdaterer lige med det samme, er tilgængeligheden af POC-koden en god anledning til at få det gjort.

Apache Software Foundation har udsendt en advisory til håndtering af en sårbarhed, der påvirker flere versioner af Apache Tomcat. En angriber kan udnytte sårbarheden til at forårsage denial-of-service.

CISA har udsendt en advisory om sårbarheden og opfordrer brugere til at installere de relevante opdateringer.

De berørte versioner er:

Apple har udsendt opdatering til iPhone og iPad kun et par uger efter rettelsen af en alvorlig sårbarhed i iOS / iPad14.7 og en uges tid efter den nye version 15 kom frem. Det skriver Security Affairs og en række andre medier.

Opdateringen har fået nummer 15.0.2 og er udsendt for at håndtere en 0-dagssårbarhed, der aktivt udnyttes ’in the wild’ i angreb mod telefoner og iPads.