To uger efter offentliggørelsen har som varslet Zimbra udgivet sikkerhedsopdateringer, der bl.a. retter en 0-dags sårbarhed, der udnyttes pt. i angreb rettet mod Zimbra Collaboration Suite (ZCS) e-mail-servere.
Fejlen har fået tildelt id’et CVE-2023-38750 og er en cross site scripting-sårbarhed, der tidligere på sommeren blev opdaget af researchere fra Google Threat Analysis Group.
Adobe har udsendt en lang række sikkerhedsopdateringer, der adresserer mindst 30 Acrobat- og Reader-sårbarheder relevante for Windows- og macOS-brugere.
Det skriver Security Week i en omtale af Adobes egen Patch Tuesday.
I forbindelse med opdateringen advarer Adobe om, at vellykket udnyttelse kan føre til afvikling af vilkårlig kode, lækage af hukommelse, omgåelse af sikkerhedsfunktioner og angreb med denial-of-service. Men der er ifølge Adobe ikke kendskab til udnyttelse in-the-wild.
Apple har udsendt sikkerhedsopdateringer til håndtering af 0-dagssårbarheder, der udnyttes i angreb rettet mod iPhones, Macs og iPads.
Det skriver Bleeping Computer og en række andre medier.
En af fejlene har id’et CVE-2023-37450 og en CVSS-score på 8,8. Det er en Webkitfejl, der er håndteret tidligere på måneden som en del af det nye ’Rapid Security Response’-koncept, som Apple lancerede først på året i et forsøg på at udrulle opdateringer hurtigere og for at gøre opmærksom på vigtigheden af at installere opdateringer, når de er tilgængelige.
CISA har i sidste uge advaret om cyberangreb mod Citrix-servere, hvor der udnyttes en kritisk sårbarhed. Det skriver Security Affairs og Bleeping Computer på baggrund af en advisory fra CISA. Der er tale om en sårbarhed med id’et CVE-2023-3519 og en score på 9,8. Det er en code injection-sårbarhed, som kan udnyttes til afvikling af kode ’remote’.
Opdateringerne til Junos OS og Junos OS Evolved inkludere også patches til 17 andre fejl i PHP kode, Message Queuing Telemetry Transport (MQTT) og NTP, inklusive nogle sårbarheder, der har været offentlig kendte i årevis.
To af PHP-fejlene, registreret som CVE-2021-21708 og CVE-2022-31627, er klassificeret som "kritisk alvorlighed". Otte andre fejl (fire i PHP, to i MQTT og to i NTP) er klassificeret med høj alvorlighed.
Google har her i juli udsendt sikkerhedsopdateringer til Android, der retter 46 sårbarheder, hvoraf tre er udnyttet in-the-wild. Det skriver Bleeping Computer og Security Week m.fl. på baggrund af en sikkerhedsbulletin fra Google.
Trusselaktører er i gang med at udnytte en kritisk WordPress 0-dagssårbarhed i et plugin. Denne gang er en sårbarhed i det såkaldte Ultimate Member-plugin, som kan anvendes til at oprette administratorkonti. De kan så bruges til at tage fuld kontrol over webstederne.
Fejlen har id’et CVE-2023-3460 og en CVSS-score på 9,8.
MITRE har publiceret dette års liste over de 25 mest farlige sårbarheder, der har plaget software i løbet af de foregående to år. Der skriver Bleeping Computer.
Listen er lavet ud fra en analyse af 43.996 CVE-numre, som er udstillet i 2021 og 2022 på National Vulnerability Database med fokus på antallet af sårbarhedstyper, der ligger i CISA's Known Expabilities (KEV) katalog. Altså sårbarheder, som en kendt som værende under udnyttelse
Google har i denne uge sendt en ny Chrome 114 på gaden med rettelse af i alt fire sårbarheder, hvoraf tre alvorlige er rapporteret af eksterne researchere. Det skriver Security Week.
De tre sårbarheder har id’erne CVE-2023-3420, CVE-2023-3421 og CVE-2023-3422 og er hhv. en Type Confusion i V8-motoren og en ’Use after free’ i Media og Guest View. Fundet af de tre sårbarheder har kastet en samlet belønning på 35.000 dollar af sig, hvoraf den mest værdifulde ’kostede’ Google 20.000 dollar.