sårbarheder

Google har udsendt opdateringer til Chromebrowseren til Windows, Mac og Linux til håndtering af syv sårbarheder. Det skriver Security Week. Fire af sårbarhederne er blevet indrapporteret af eksterne researchere, hvoraf en af dem har fået 10.000 dollar for ulejligheden.

CISA har sammen med MS-ISAC udsendt en ’alert’ samme med en advisory om, at trusselsaktører pt udnytter den nyligt opdaterede sårbarhed i F5 BIG-IP. Det skriver Dark Reading.

Sårbarheden giver en uautoriseret aktør mulighed for at få kontrol over berørte systemer via administrationsporten eller selv-IP-adresser.

Konkret drejer det sig om den mest alvorlige fejl i den sending af rettelser, der kom på gaden i starten af maj. Fejlen har id’et CVE-2022-1388 og en CVSS-score på 9,8.

Konkret er fejlen relevant i disse versioner af F5 BIG-IP:

VMware har udgivet patches til håndtering af to sikkerhedsfejl, der påvirker Workspace ONE Access, Identity Manager og vRealize Automation. Det skriver Ars Technica på baggrund af en advisory fra VMware.

Den mest kritiske fejl har id’et CVE-2022-22972 (CVSS-score: 9,8) og vedrører omgåelse af autentificering. Sårbarheden gør det muligt for en angriber med netværksadgang til brugergrænsefladen at få administrativ adgang uden forudgående godkendelse.

Det amerikanske CISA har udsendt en ’alert’, der beordrer føderale myndigheder at håndtere en række udnyttede sårbarheder i VMware-produkter. Konkret drejer det sig om VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, vRealize Suite Lifecycle Manager.

Advarslen er refereret i en række artikler i diverse medier, men udførligt beskrevet på CISAs hjemmeside.

Det amerikanske svar på Center for Cybersikkerhed, CISA, har sammen med sikkerhedsmyndigheder fra Canada, New Zealand, Australien og UK udgivet en ’joint advisory’, der opstiller de 15 mest udnyttede sårbarheder i 2021.

Advisoriet blev offentliggjort i går den 27. april via det sjældendt brugte format, ’Alert’, som der kun er udsendt 13 af i år. Alert’et er omtalt i en række medier, herunder Dark Reading og Bleeping Computer.

Øverst på listen står Log4Shell-sårbarheden, på trods af at den først blev afsløret i slutningen af året.

Atlassian har udsendt en advarsel om en kritisk sårbarhed i Jira-softwaren. En sårbarhed, der kan bruges af en ekstern, uautoriseret angriber til at omgå autentifikationen. Det skriver The Hacker News.

Jira er et værktøj til udvikling og udgivelse af software, som gør det muligt at dele opgaverne i et team, så alle kan se, hvad der foregår, hvad der er sket og hvor i en udviklingsproces, et projekt befinder sig på. 

QNAP har bedt kunder om at implementere afbødende foranstaltninger for at blokere forsøg på at udnytte Apache HTTP Server sårbarheder. Sårbarheder, der påvirker deres netværkstilsluttede lagringsenheder (NAS). Det skriver Bleeping Computer.

Fejlene med id-numrene CVE-2022-22721 og CVE-2022-23943 betegnes som kritiske med en basisscore på 9,8/10 for alvorlighedsgrad og indvirkningssystemer, der kører Apache HTTP Server 2.4.52 og tidligere.

Fejlene kan udnyttes udefra, uden at det kræver brugerinteraktion. Altså i angreb med lav kompleksitet, som det hedder.

Apples har torsdag udgivet nødpatches for at dække et par aktivt udnyttede sårbarheder, der påvirker bl.a. macOS-, iOS- og iPadOS-enheder. Det skriver Security Weeks m.fl.

Der er to fejl - CVE-2022-22675 og CVE-2022-22674 – der findes i alle de større operativsystemer. Apple advarer om, at angreb til fjernafvikling af kode allerede kan være i gang. De nye versioner af styresystemerne har numrene iOS 15.4.1, iPadOS 15.4.1, tvOS 15.4.1 og watchOS 8.5.1. 

Der er også udgivet en ny version af macOS Monterey med nummeret 12.3.1

Sikkerhedshardware-producenten SonicWall har rettet en kritisk sårbarhed i SonicOS-sikkerhedsoperativsystemet, der gør denial of service (DoS)-angreb mulige og kan føre til fjernafvikling af kode (RCE).

Det skriver Bleeping Computer.

CISA har tilføjet en ny stor bunke aktivt udnyttede sårbarheder til sit katalog over 'kendte udnyttede sårbarheder', det såkaldte KEV-katalog. I denne omgang er der tale om 66 styk, som følger i halen af de 15, der blev tilføjet i sidste uge.

Det skriver Bleeping Computer og Security Affairs.