sårbarheder

To uger efter offentliggørelsen har som varslet Zimbra udgivet sikkerhedsopdateringer, der bl.a. retter en 0-dags sårbarhed, der udnyttes pt. i angreb rettet mod Zimbra Collaboration Suite (ZCS) e-mail-servere.

Fejlen har fået tildelt id’et CVE-2023-38750 og er en cross site scripting-sårbarhed, der tidligere på sommeren blev opdaget af researchere fra Google Threat Analysis Group.

Adobe har udsendt en lang række sikkerhedsopdateringer, der adresserer mindst 30 Acrobat- og Reader-sårbarheder relevante for Windows- og macOS-brugere.

Det skriver Security Week i en omtale af Adobes egen Patch Tuesday.

I forbindelse med opdateringen advarer Adobe om, at vellykket udnyttelse kan føre til afvikling af vilkårlig kode, lækage af hukommelse, omgåelse af sikkerhedsfunktioner og angreb med denial-of-service. Men der er ifølge Adobe ikke kendskab til udnyttelse in-the-wild.

Apple har udsendt sikkerhedsopdateringer til håndtering af 0-dagssårbarheder, der udnyttes i angreb rettet mod iPhones, Macs og iPads.

Det skriver Bleeping Computer og en række andre medier.

En af fejlene har id’et CVE-2023-37450 og en CVSS-score på 8,8. Det er en Webkitfejl, der er håndteret tidligere på måneden som en del af det nye ’Rapid Security Response’-koncept, som Apple lancerede først på året i et forsøg på at udrulle opdateringer hurtigere og for at gøre opmærksom på vigtigheden af at installere opdateringer, når de er tilgængelige.

CISA har i sidste uge advaret om cyberangreb mod Citrix-servere, hvor der udnyttes en kritisk sårbarhed. Det skriver Security Affairs og Bleeping Computer på baggrund af en advisory fra CISA. Der er tale om en sårbarhed med id’et CVE-2023-3519 og en score på 9,8. Det er en code injection-sårbarhed, som kan udnyttes til afvikling af kode ’remote’.

Opdateringerne til Junos OS og Junos OS Evolved inkludere også patches til 17 andre fejl i PHP kode, Message Queuing Telemetry Transport (MQTT) og NTP, inklusive nogle sårbarheder, der har været offentlig kendte i årevis.

To af PHP-fejlene, registreret som CVE-2021-21708 og CVE-2022-31627, er klassificeret som "kritisk alvorlighed". Otte andre fejl (fire i PHP, to i MQTT og to i NTP) er klassificeret med høj alvorlighed.

Citrix anbefaler, at kunder, der er berørt af sårbarheden, opgraderer Citrix Secure Access-klienten, ud fra følgende kriterier:

1) Hvis Citrix Secure Access-klient til Ubuntu distribueres via SSL VPN-opgraderingskontrolfunktionen i Citrix ADC eller Citrix Gateway:

Udskift den sårbare klient på Citrix ADC eller Gateway ved at følge instruktionerne på: https://docs.netscaler.com/en-us/citrix-gateway/citrix-gateway-clients/s...

Google har her i juli udsendt sikkerhedsopdateringer til Android, der retter 46 sårbarheder, hvoraf tre er udnyttet in-the-wild. Det skriver Bleeping Computer og Security Week m.fl. på baggrund af en sikkerhedsbulletin fra Google.

Trusselaktører er i gang med at udnytte en kritisk WordPress 0-dagssårbarhed i et plugin. Denne gang er en sårbarhed i det såkaldte Ultimate Member-plugin, som kan anvendes til at oprette administratorkonti. De kan så bruges til at tage fuld kontrol over webstederne.

Fejlen har id’et CVE-2023-3460 og en CVSS-score på 9,8.

MITRE har publiceret dette års liste over de 25 mest farlige sårbarheder, der har plaget software i løbet af de foregående to år. Der skriver Bleeping Computer.

Listen er lavet ud fra en analyse af 43.996 CVE-numre, som er udstillet i 2021 og 2022 på National Vulnerability Database med fokus på antallet af sårbarhedstyper, der ligger i CISA's Known Expabilities (KEV) katalog. Altså sårbarheder, som en kendt som værende under udnyttelse

Google har i denne uge sendt en ny Chrome 114 på gaden med rettelse af i alt fire sårbarheder, hvoraf tre alvorlige er rapporteret af eksterne researchere. Det skriver Security Week.

De tre sårbarheder har id’erne CVE-2023-3420, CVE-2023-3421 og CVE-2023-3422 og er hhv. en Type Confusion i V8-motoren og en ’Use after free’ i Media og Guest View. Fundet af de tre sårbarheder har kastet en samlet belønning på 35.000 dollar af sig, hvoraf den mest værdifulde ’kostede’ Google 20.000 dollar.