sårbarheder

Oracle frigav tirsdag ​​370 patches som del i det den kvartårlige opdateringscycklus.

Det skriver Security Week.

Over 50 sårbarheder er kritiske og mere end 200 af de sikkerhedsrettelserne omhandler sårbarheder, der kan fjernudnyttes uden godkendelse.

På produktsiden er der følgende topscorere:

De tre amerikanske sikkerhedsmyndigheder - CISA, FBI og NSA – har offentliggjort en liste over 20 sårbarheder, der er mest udnyttet af statssponserede kinesiske trusselsaktører siden 2020.

Det skriver en række medier, herunder The Register.

Cisco har rettet rettet potentielt alvorlige sårbarheder i nogle af sine netværks- og kommunikationsprodukter, herunder Enterprise NFV, Expressway og TelePresence.

Det skriver Security Week og Security Affairs på baggrund af udsendte advisories.

Cisco har i forbindelse med sin september patch afdækket og rettet alvorlige fejl, hvoraf de fleste påvirker dets IOS XE-operativsystem. Det skriver Itnews.

En lang række af sårbarhederne muliggør forskellige former for denial-of-service. I alt er der publiceret ni CVE-numre, hvis udnyttelse altså kan medføre problemer med tilgængelighed. CVSS-scoren for de ni CVE’er ligger mellem 7,4 og 8.6

Tre af fejlene vedrører afvikling af vilkårlig kode. Scoren for disse ligger mellem 6,1 og 7,9.

Mozilla har udsendt sikkerhedsopdateringer til Firefox, Firefox ESR og Thunderbird. Det skriver CISA i en meddelelse.

En af sårbarhederne i Firefox ESR gør det muligt for en angriber at omgå sikkerhedsrestriktioner ved at lokke et offer til at åbne en særligt udformet webside, som kan tvinge browseren at kompromittere enheden. Firefox ESR står for Extendet Support Release og er en udgave af browseren der ikke modtager opdateringer i samme frekvens som den almindelige Firefox-browser.

Amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har tilføjet 12 nye sårbarheder til sit katalog over kendte, udnyttede fejl. Blandt disse er sårbarheder, der er fundet i bl.a. Google Chrome og værktøjer fra QNAP, D-Link, Apple, Oracle m.fl.

Det skriver The Record.

Som altid er der en deadline for føderale enheder til at håndtere sårbarhederne. I dette tilfælde er det den 29. september.

CISA har tilføjet yderligere to fejl til sit katalog over kendte, udnyttede sårbarheder. Det drejer sig om 0-dagssårbarheden i Windows Support Diagnostic Tool (MSDT), som blev rettet i forbindelse med sidste uges Patch Tuesday. Der findes efter det oplyste en exploit kode tilgængelig.

En uge efter udsendelse af en rettelse til en kritisk fejl i VMware Workspace ONE Access, Identity Manager og vRealize Automation advarer VMware om, at en exploit-kode er blevet offentlig tilgængelig. Det skriver Security Week.

Fejlen med id-nummeret CVE-2022-31656 og en score på 9,8 blev kendt i starten af august og giver angribere mulighed for at få administrativ adgang uden godkendelse. Og nu – en uge efter – er der altså en exploit-kode tilgængelig, hvilket er anledningen til advarslen.

Det har været Microsofts Patch Tuesday og med dette rettelse af hele 121 fejl, hvoraf en er en aktivt udnyttet nul-dages sårbarhed og 17 med betegnelsen ’kritiske’. Det skriver Bleeping Computer og en række andre medier.

De 17 fejl er vurderet til at være kritiske, da de muliggør remote code execution eller privileges elevation.

I alt er der følgende typer sårbarheder:

Sikkerhedsresearchere Forskere ved Trellix har opdaget en kritisk RCE-sårbarhed, der påvirker 29 routermodeller i DrayTek Vigor-serien. Det skriver Bleeping Computer.

Sårbarheden har id-nummeret CVE-2022-32548 og med en score 10,0 på CVSS-skalaen kan den ikke være mere kritisk.