sårbarheder

Sikkerhedsopdatering til Chrome-browseren

Google har udsendt opdateringer til Chromebrowseren til Windows, Mac og Linux. Opdateringen retter 26 fejl, en af disse er en use-after-free fejl i ”Safe Browsing”, der kan medføre remote code execution. Fejlen betegnes som kritisk, da den ikke kræver brugerinteraktion, efter at brugeren har besøgt et ondsindet websted.

Dansk

Oracle opdaterer

Oracle har udsendt opdatering for januar 2022. Updaten adresserer 497 sårbarheder i en lang række produkter.

Security Week, som omtaler opdateringen, skriver, at mere end halvdelen af sårbarhederne kan udnyttes udefra uden autentificering.

28 af sårbarhederne betegnes som kritiske, hvoraf to af dem har en CVSS-scores på 10. Ca 120 af dem har scorer på mellem 8 og 9. Alle omfattede produkter og patchdokumenter fremgår af Oracles ’Critical Patch Update Januar 2022’-webside.

Dansk

F5 udsender rettelser

F5 har udsendt sine kvartårlige sikkerhedsrettelser, der adresserer sårbarheder i forskellige versioner af BIG-IP, BIG-IQ og NGINX Controller API Management. Sårbarhederne kan udnyttes til at overtage kontrollen med et system eller på anden måde sætte det ud af drift. Det skriver CISA i en meddelelse.

Der er i alt 15 sårbarheder med en CVSS-score på over 7, hvor af de højst scorende påvirker henholdsvis BIG-IQ og NGINX Controller API Management. Resten påvirker BIG-IP. I alt er der opstillet 25 sårbarheder med hver deres CVE-id.

Dansk
Keywords: 

Det Hvide Hus inviterer til nyt tech-topmøde

Det Hvide Hus mødes torsdag i denne uge med ledere af store teknologivirksomheder, herunder Apple, Google, Amazon, Meta, IBM og Microsoft for at diskutere sikkerheden ved open source-software.

Det skriver The Verge.

Topmødet inkluderer også Apache Software Foundation, der ejer og vedligeholder Log4j-biblioteket - og Oracle, der ejer Java-softwareplatformen, som Log4j-biblioteket kører på. Også GitHub og Linux Open Source Foundation er inviteret til mødet. 

Dansk

Cisco opdaterer

Cisco har udsendt sikkerhedsopdateringer, der adresserer en sårbarheder i Ciscos Unified Contact Center Management Portal (Unified CCMP) og Cisco Unified Contact Center Domain Manager (Unified CCDM). Det skriver Security Week. 

Sårbarheden har id’et CVE-2022-20658, en CVSS-score på 9,6 og gør det muligt for en angriber at indsende en udformet HTTP-anmodning for at udnytte fejlen på et sårbart system.

Sårbarheden kan udnyttes til at overtage kontrollen over berørt system, men Cisco er ikke bekendt med aktuelle udnyttelser.

Dansk

15 nye sårbarheder til CISAs katalog

CISA har udvidet sin liste over kendte udnyttede sårbarheder. Det sker i det såkaldte KEV-catalogue, der står for Known Exploited Vulnerabilities-kataloget.

Da listen blev lanceret i efteråret var det med godt 300 kendte sårbarheder. Lige før jul kom der yderligere 13 på, og nu er listen altså udvidet med yderligere 15. CISA skriver i sin meddelelse ifm. udvidelsen, at ’sårbarhederne er en hyppig angrebsvektor for ondsindede cyberaktører af alle typer og udgør en betydelig risiko for føderale organisationer’, og at der løbende kommer nye til.

Dansk
Keywords: 

Wordpress udsender sikkerhedsopdatering

Det populære CMS-system, WordPress, har fået en sikkerhedsopdatering. Der handler om opdateringer til version 3.7 til 5.8, der er påvirket af en lang række sårbarheder. I alt er der tale om fire rettelser.

Det fremgår af WordPress’ meddelelse om opdateringen, at den nye version 5.8.3 er en opdatering uden for cyklus. Den næste store release bliver version 5.9.

Dansk

Advarsel om udnyttelse af Log4Shell i VMware Horizon

UK's sundhedsmyndigheder (National Health Service - NHS) har udsendt en advarsel om, at en ukendt trusselgruppe har rettet sit skyts mod VMware Horizon-implementeringer ved at udnytte Log4j-sårbarheden. Det skriver Bleeping Computer.

Sårbarheden er også kendt som Log4Shell, der blev kendt i midten af december og som siden har fået flere rettelser, som systemadministratorer verden over har arbejdet på at håndtere. Seneste version 2.17.1 anses ifølge Bleeping Computer for at være ’tilstrækkelig sikker’.

Dansk

VMware udsender sikkerhedsopdateringer

VMware har i denne uge udsendt opdateringer til workstation, Fusion og EXSi-produkter for at adressere en sårbarhed i flere af produkterne. Det skriver Security Affairs. Der er tale om en såkaldt heap-overflow sårbarhed, der ofte kan medføre tilgængelighedsproblemer.  

Sårbarheden, der har id’et CVE-2021-22045 og en score på 7,7 påvirker følgende produkter:

Dansk

Sårbarheder i Netgear routere

Researchere fra Tenable har opdaget sårbarheder, der påvirker den seneste firmwareversion til Netgear Nighthawk R6700v3-routeren. Det skriver Security Affairs. Det drejer sig om version 1.0.4.120 af firmwaren. Version 1 og 2 af R6700-routeren har nået end-of-life, hvorfor disse modeller anbefales at blive udskiftet. 

En angriber kan udnytte sårbarhederne til at tage fuld kontrol over de sårbare enheder. I alt er der tale om seks sårbarheder med hvert deres CVE-nummer. 

Dansk

Sider

Abonnér på RSS - sårbarheder