Apples har torsdag udgivet nødpatches for at dække et par aktivt udnyttede sårbarheder, der påvirker bl.a. macOS-, iOS- og iPadOS-enheder. Det skriver Security Weeks m.fl.
Der er to fejl - CVE-2022-22675 og CVE-2022-22674 – der findes i alle de større operativsystemer. Apple advarer om, at angreb til fjernafvikling af kode allerede kan være i gang. De nye versioner af styresystemerne har numrene iOS 15.4.1, iPadOS 15.4.1, tvOS 15.4.1 og watchOS 8.5.1.
Der er også udgivet en ny version af macOS Monterey med nummeret 12.3.1
Sikkerhedshardware-producenten SonicWall har rettet en kritisk sårbarhed i SonicOS-sikkerhedsoperativsystemet, der gør denial of service (DoS)-angreb mulige og kan føre til fjernafvikling af kode (RCE).
CISA har tilføjet en ny stor bunke aktivt udnyttede sårbarheder til sit katalog over 'kendte udnyttede sårbarheder', det såkaldte KEV-katalog. I denne omgang er der tale om 66 styk, som følger i halen af de 15, der blev tilføjet i sidste uge.
Det skriver Bleeping Computer og Security Affairs.
Google har udsendt en ny version af Chromebrowseren, der retter en alvorlig og flere kritiske sårbarheder, der bl.a. kan føre fjernafvikling af kode med sig.
Leverandør af Network Attached Storage (NAS), QNAP, advarer om, at de fleste af virksomhedens NAS-enheder er påvirket af en alvorlig Linux-sårbarhed, der gør det muligt for angribere med lokal adgang at få root-privilegier. Det skriver Bleeping Computer.
Sårbarheden har fået navnet 'Dirty Pipe', og den påvirker Linux Kernel 5.8 og nyere versioner, også selv på Android-enheder. Hvis et angreb lykkes, giver det ikke-privilegerede brugere mulighed for at injicere og overskrive data i skrivebeskyttede filer, inklusive SUID-processer, der kører som root.
Veeam har udsendt opdateringer til kritiske sårbarheder i en backup-løsning, der anvendes til virtuelle miljøer. Det skriver Security Week.
Applikationen leverer sikkerhedskopiering og -gendannelsesfunktioner til virtuelle maskiner, der kører på Hyper-V, vSphere og Nutanix AHV, såvel som til servere og arbejdsstationer og til skybaserede arbejdsbelastninger.
Har du en hjemmeside baseret på WordPress, så er det måske værd at læse videre.
Patchstack, som er en virksomhed dedikeret til at holde øje med WordPress-sikkerhed, har her i marts udgivet en hvidbog om WordPress-sikkerhedstilstanden i 2021, den såkaldte ’State of WordPress Security 2021’. Det skriver Bleeping Computer.
Rapporten tegner et ’dystert’ billede. Således har der i 2021 været en vækst på 150 pct i de indrapporterede sårbarheder sammenlignet med det foregående år, og 29 pct. af de kritiske fejl i WordPress-plugins har aldrig modtaget en sikkerhedsopdatering.
Adobe har tirsdag sendt sikkerhedsopdateringer på gaden for at håndtere fejl. der kan udnyttes til afvikling af skadelig kode i hhv. Illustrator- og After Effects-produkter.
Det skriver Security Week.
Den mest alvorlige af sårbarhederne findes i design-programmet Adobe Illustrator og betegnes som værende kritisk ud fra en CVSS-scores på 7,8. Sårbarheden har id’et CVE-2022-23187 og påvirker Illustrator 2022 version 26.0.3 (og tidligere versioner) på både Windows- og macOS-maskiner. Brugerne opfordres til at opgradere til Illustrator 2022 version 26.1.0.
Der går ikke en uge uden at der kommer nye sårbarheder til CISA’s KEV-kataloget. Denne gang er det 11 nye, hvoraf de mest alvorlige skal rettes senest den 21. marts. Sårbarhederne er en hyppig angrebsvektor for ondsindede cyberaktører af alle typer og udgør en betydelig risiko for føderale organisationer. KEV-kataloget er rettet mod føderale enheder i USA, men alle andre enheder, virksomheder og statslige enheder opfordres til at følge katalogets anvisninger.
Mozilla har udsendt Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0 og Focus 97.3.0 for at adressere et par alvorlige 0-dagssårbarheder.
Det skriver Security Affairs.
Sårbarhederne har id’erne CVE-2022-26485 og CVE-2022-26486 og kan ved udnyttelse medføre hhv. use-after-free. Mozilla skriver i sin advisory at impacten ved udnyttelse er ’high’.
Der er angiveligt rapporter om udnyttelse af sårbarhederne ’in the wild’. Det anbefales at installere opdateringerne umiddelbart.
