sårbarheder

Der er fundet en række række kritiske sårbarheder i Google Chrome. Det fremgår af en række sårbarhedsdatabaser, herunder Vulners.com på baggrund af en release-meddelelse fra Google. En ondsindet aktør kan potentielt udnytte disse sårbarheder til at eksekvere vilkårlig kode på systemer. Der er specifikt tale om seks sårbarheder med følgende CVE’er, der alle har en CVSS-score på 8,8.  

Den tyske producent af virksomhedsløsninger SAP har i sidste uge udgivet 18 nye advisories vedrørende patch-dagen for maj 2023. To af dem omhandler kritiske sårbarheder. Det skriver Security Week.

Den mest alvorlige sårbarhed har id’et CVE-2021-44152 (CVSS-score på 9,8). Det er en ukorrekt godkendelsesstjek, der kan gøre det muligt for en uautoriseret hacker at ændre adgangskoden til enhver brugerkonto.

Apple udgav mandag sin første batch af offentligt tilgængelige ’rapid security patches’. Målet med denne nye feature er hurtigt at rette sikkerhedssårbarheder, der er under aktiv udnyttelse, eller som udgør 'betydelige risici for' brugere af Apples produkter. 

Det skriver Tech Crunch.

Ifølge en meddelelse fra Apple kommer de såkaldte rapid security-opdateringer med ’vigtige sikkerhedsforbedringer mellem softwareopdateringer.’

Google har i denne uge udsendt version 113 af Chrome. Med denne kommer der 15 sikkerhedsrettelser, inklusive patches til 10 sårbarheder, som er rapporteret af researchere uden for Google-systemet. Det skriver Security Week.

Sårbarhederne i denne omgang ligger i den bløde ende. dvs. under 7 på CVSS-scalaen. Alligevel har fundet udløst over 30.000 dollar i bug-bounty-dusør. 

GitHub har gjort funktion til rapportering af sårbarheder i open source-depoter tilgængelig for alle projektejere.

Det skriver Help Net Security på baggrund af en advisory fra GitHub.

Funktionen har hidtil kun været tilgængelig i en betafunktion – men trods det, har ’vedligeholdere’ fra mere end 30.000 organisationer alligevel aktiveret privat sårbarhedsrapportering på mere end 180.000 depoter siden november 2022. Det har affødt mere end 1000 meddelelser fra sikkerhedsresearchere.

Producenten af netværksudstyr Zyxel har udgivet patches til en kritisk sikkerhedsfejl i sine firewall-enheder. Fejlen er kritisk, da den kan udnyttes til at opnå fjernafvikling af kode på berørte systemer. Dvs. en remote code execution-sårbarhed.

Det skriver The Hacker News m.fl.

VMware har udgivet sikkerhedsopdatering bl.a. til håndtering af to 0-dagssårbarheder. Det skriver Bleeping Computer og Security Affairs på baggrund af en advisory fra VMware. Sårbarhederne har id’erne CVE-2023-20869 og CVE-2023-20870 og en CVSS-score på hhv. 9, 3 og 7,1.

CVE-2023-20869 er en ’stack buffer overflow'-sårbarhed og kan udnyttes af en lokal angriber til at afvikle kode, da den virtuelle maskines VMX-proces kører på hosten.

SolarWinds har rettet to alvorlige sårbarheder i SolarWinds Platform, der kan føre til kommandoudførelse og privilegieeskalering.

Det skriver Security Week på baggrund af en opdatering fra SolarWinds.

Cisco har udgivet sikkerhedsopdateringer for at afhjælpe kritiske sikkerhedsfejl, som kan udnyttes til at afvikle vilkårlig kode på berørte systemer.

Det skriver The Hacker News på baggrund af en advisory fra Cisco.

QNAP har anbefalet sine kunder at opdatere deres Linux-drevne netværkstilsluttede lagringsenheder (NAS) for at adressere en alvorlig Sudo-privilegieeskaleringssårbarhed. Det skriver Security Affairs og Bleeping Computer på baggrund af en advisory fra QNAP.

Der er tale om en sårbarhed med id’et CVE-2023-22809 og en score på 7,8 på CVSS-skalaen.