sårbarheder

Mozilla har udsendt rettelser for at adressere en kritisk fejl i sit kryptografiske bibliotek med netværkssikkerhedstjenester (NSS) på tværs af platforme. Det skriver The Hacker News.

Fejlen kan potentielt udnyttes af en modstander til at nedbryde en sårbar applikation og endda afvikle vilkårlig kode.

Sikkerhedsresearchere har i denne uge afsløret en otte år gammel sikkerhedsfejl, der påvirker 150 forskellige multifunktionsprintere (MFP'er) fra HP. Det skriver The Hacker News m.fl.

Fejlene, som kan blive misbrugt af en angriber til at tage kontrol over sårbare enheder, stjæle følsom information og infiltrere virksomhedsnetværk mhp. at igangsætte andre angreb.

Netgear har udgivet rettelser til håndtering af en sårbarhed i flere produktmodeller. De berørte produktmodeller omfatter extenders, routere, air-cards og modem.

Det skriver Malwarebytes Lab.

Sårbarheden blev opdaget af researchere ved GRIMM, men da der har været tale om responsible disclosure Netgear udgivet en patch, der retter den underliggende fejl, forud for den planlagte offentliggørelsesdato.

Google har udsendt opdateringer til Chromebrowseren til Windows, Mac og Linux. Opdateringen retter 25 fejl, hvoraf flere karakteriseres som kritiske. Ifølge Forbes er angreb via Chromebrowsere mere og mere hyppige, hvorfor det anbefales at opdatere med det samme. 

Med opdateringen har Chrome nu nr. 96.0.4664.45

VMware har meddelt, at der arbejdes på rettelser til en potentielt alvorlig sårbarhed vedr. forhøjelse af privilegier, der påvirker vCenter Server. Det skriver Security Week.

Sårbarheden har id’et CVE-2021-22048 og en CVSS-score på 7,1. To medarbejdere ved CrowdStrike er blevet krediteret for at rapportere problemet til VMware.

Softwareproducenten Adobe udsendte tirsdag rettelser til mindst fire sikkerhedsfejl, der kan udsende brugere for hackerangreb. Det skriver Security Week.

Den mest alvorlige af fejlen blev rettet i RoboHelp Server og er vurderet som "kritisk", fordi den kan udsætte virksomhedsmiljøer for angreb med afvikling af vilkårlig kode til følge.

Adobe har i forbindelse med rettelsen advaret om, at sårbarheden - CVE-2021-39858 - påvirker RoboHelp Server RHS2020.0.1 og tidligere versioner på Microsoft Windows-platformen, men Adobe er ikke vidende om evt. aktuelle udnyttelser.

Microsoft har i dag advaret systemadministratorer om ’øjeblikkeligt’ at rette en alvorlig Exchange Server-sårbarhed, der kan give godkendte angribere mulighed for at afvikle kode eksternt på sårbare servere. Det skriver Dark Reading.

Fejlen har id’et CVE-2021-42321, og den påvirker Exchange Server 2016 og Exchange Server 2019. Microsoft skriver i sin advisory, at man er opmærksom på ’begrænsede målrettede angreb in the wild’ ved hjælp af CVE-2021-42321, som er en post-authentificationsårbarhed i Exchange 2016 og 2019.

Mozilla har udsendt version 91.3 til e-mailklienten Thunderbird for at rette adskillige sårbarheder, der bl.a. kan forårsage denial of service, omgåelse af sikkerhedspolitikker og tillade afvikling af vilkårlig kode. Det er tale om rettelse af ti fejl med hvert sit CVE-nummer, som er opdaget af forskellige researchere.

Det skriver Bleeping Computer.

Udnyttelse af fejlene kræver, at en bruger åbner et specielt udformet websted i en browsing-sammenhæng. Herefter skulle udnyttelsen være forholdsvis enkel.

USA's svar på Center for Cybersikkerhed, CISA (Cybersecurity and Infrastructure Security Agency) har udgivet en liste over omkring 300 sårbarheder, der vides at være blevet udnyttet. I forbindelse med udgivelsen har CISA udstedt et såkaldt bindende operationelt direktiv med en instruktion til føderale regeringsenheder om at rette op på sikkerhedsfejlene.

Google har udsendt en ny version af Chromebrowseren. I alt er der patchet 19 sårbarheder, hvoraf 16 rapporteret af eksterne researchere. Det skriver Security Week.

Det mest alvorlige sårbarhed er en ’heap buffer overflow’. Den udløste en betaling på 20.000 dollar til den researcher, der har fundet sårbarheden.