CISA har tilføjet to nye sårbarheder til sit katalog over kendte udnyttede sårbarheder (Known exploitable vulnerabilities). Listen er baseret på viden om, at trusselsaktører aktivt udnytter sårbarhederne. Sårbarhederne er en hyppig angrebsvektor for bl.a. cyberkriminelle, og de udgør ifølge CISA en betydelig risiko for en virksomhed.
Mozilla har udsendt sikkerhedsopdateringer for at rette sårbarheder i Firefox og Firefox ESR. En hacker kan udnytte nogle af disse sårbarheder til at tage kontrol over et påvirket system. Det skriver CISA i en meddelelse.
Cisco har udsendt rettelser til håndtering af sårbarheder i en række routere, der primært er henvendt til SMV-segmentet, altså de små og mellemstore virksomheder. Det skriver Itnews og en række andre medier. Til visse af sårbarhederne findes der exploits.
CISA opfordrer føderale enheder til at opdatere Windows og derved sikre deres systemer mod en aktivt udnyttet sårbarhed, som kan misbruges til at eskalere privilegier. Det skriver The Hacker News.
Det drejer sig konkret om en sårbarhed med id’et CVE-2022-21882 og en CVSS-score på 7,0, som de føderale enheder har fået frem til 18. februar at håndtere. Sårbarheden er af samme grund blevet tilføjet CISAs katalog over Known Exploited Vulnerabilities Catalogue.
Google har udsendt ny version af Chrome til Windows, Mac og Linux. Det skriver Security Week på baggrund af en meddelelse fra CISA, der opfordrer brugerne til at opdatere.
De mest alvorlige af fejlene kan udnyttes til at afvikle vilkårlig kode med de samme rettigheder som Chrome-browseren har på systemet.
Et WordPress-plugin med over en million installationer har vist sig at indeholde en kritisk sårbarhed, der kan resultere i afvikling af vilkårlig kode på kompromitterede websteder. Det skriver The Hacker News.
Det pågældende plugin er det såkaldte Essential Addons til Elementor. Pluginet giver WordPress-webstedsejere et bibliotek med over 80 elementer og udvidelser, som hjælper dem med at designe og tilpasse sider og indlæg.
Google har udsendt opdateringer til Chromebrowseren til Windows, Mac og Linux. Opdateringen retter 26 fejl, en af disse er en use-after-free fejl i ”Safe Browsing”, der kan medføre remote code execution. Fejlen betegnes som kritisk, da den ikke kræver brugerinteraktion, efter at brugeren har besøgt et ondsindet websted.
Oracle har udsendt opdatering for januar 2022. Updaten adresserer 497 sårbarheder i en lang række produkter.
Security Week, som omtaler opdateringen, skriver, at mere end halvdelen af sårbarhederne kan udnyttes udefra uden autentificering.
28 af sårbarhederne betegnes som kritiske, hvoraf to af dem har en CVSS-scores på 10. Ca 120 af dem har scorer på mellem 8 og 9. Alle omfattede produkter og patchdokumenter fremgår af Oracles ’Critical Patch Update Januar 2022’-webside.
F5 har udsendt sine kvartårlige sikkerhedsrettelser, der adresserer sårbarheder i forskellige versioner af BIG-IP, BIG-IQ og NGINX Controller API Management. Sårbarhederne kan udnyttes til at overtage kontrollen med et system eller på anden måde sætte det ud af drift. Det skriver CISA i en meddelelse.
Der er i alt 15 sårbarheder med en CVSS-score på over 7, hvor af de højst scorende påvirker henholdsvis BIG-IQ og NGINX Controller API Management. Resten påvirker BIG-IP. I alt er der opstillet 25 sårbarheder med hver deres CVE-id.
Det Hvide Hus mødes torsdag i denne uge med ledere af store teknologivirksomheder, herunder Apple, Google, Amazon, Meta, IBM og Microsoft for at diskutere sikkerheden ved open source-software.
Det skriver The Verge.
Topmødet inkluderer også Apache Software Foundation, der ejer og vedligeholder Log4j-biblioteket - og Oracle, der ejer Java-softwareplatformen, som Log4j-biblioteket kører på. Også GitHub og Linux Open Source Foundation er inviteret til mødet.