sårbarheder

Tvinger rettelser igennem i Wordpress-plugin

En mere end 10 år gammel kritisk sårbarhed i Jetpack blev ’tvangspatchet’ på fem millioner WordPress-websteder.

Det skriver Security Week og Bleeping Computer.

Det er sket for at adressere en kritisk sårbarhed i et Wordpress-plugin, Jetpack. Jetpack tilbyder ironisk nok sikkerhedsfunktioner såsom malware-scanning, real-time backup og gendannelse, spam og beskyttelse mod brute-force mm.

Dansk

Sårbarheder i Chrome

Der er opdaget flere sårbarheder i Google Chrome, hvoraf den mest alvorlige kunne give mulighed for vilkårlig afvikling af kode i sammenhæng med den loggede bruger. Afhængigt af brugerens privilegier vil en angriber kunne installere programmer, se, ændre eller slette data eller oprette nye konti med fulde brugerrettigheder.

Dansk
Keywords: 

Sårbarheder i Moxa-produkter

Der er fundet sårbarheder i Moxa-produkter, som en ondsindet aktør kan udnytte til at omgå autentificering og kompromittere en organisations systemer.

Der er tale om to sårbarheder med id’erne CVE-2023-33236 og CVE-2023-33235, der har CVSS-score på hhv. 9,8 og 7,2. De berørte systemer er MXsecurity series’ Software v1.0.

Sårbarhederne er blevet i fixet i seneste version. Derfor kan det med fordel patche MXsecurities series til den nyeste version (v1.0.1 eller højere).

Moxa tilbyder løsninger inden for industrielt netværk, computing og automation solutions.

Dansk
Keywords: 

Zyxel udsender kritiske sikkerhedsrettelser

Bedst som proof-of-concept er offentliggjort på ’gamle’ sårbarheder i Zyxel-produkter, har Zyxel udsendt nye softwareopdateringer for at rette to kritiske sikkerhedsfejl, der påvirker udvalgte firewall- og VPN-produkter. Udnyttelse af fejlene kan misbruges af fjernangribere til at opnå rettigheder til at afvikle kode. Det skriver The Hacker News.

Begge fejl, som har fået id’erne CVE-2023-33009 og CVE-2023-33010, er ’buffer overflow’-sårbarheder, der har fået scoren 9,8 ud af 10 på CVSS-skalaen.

Påvirkede produkter og versioner er:

Dansk

Kritiske fejl i Cisco Switch med offentliggjort udnyttelseskode

Cisco advarer kunder om fire kritiske sårbarheder, der kan udnyttes fra 'remote'. Udnyttelse giver uautoriserede angribere mulighed for at afvikle kode med root-rettigheder på sårbare enheder. Der er allerede offentliggjort eksempler på, hvordan sårbarheden udnyttes, Sårbarheden påvirker flere Switche i 'Small Business'-serien.

En angriber kan udnytte sårbarhederne ved at sende specielt udformede forespørgsler til webgrænsefladen. Følgende enheder er sårbare:

Dansk

Kritiske sårbarheder i Chrome

Der er fundet en række række kritiske sårbarheder i Google Chrome. Det fremgår af en række sårbarhedsdatabaser, herunder Vulners.com på baggrund af en release-meddelelse fra Google. En ondsindet aktør kan potentielt udnytte disse sårbarheder til at eksekvere vilkårlig kode på systemer. Der er specifikt tale om seks sårbarheder med følgende CVE’er, der alle har en CVSS-score på 8,8.  

Dansk

SAP retter kritiske sårbarheder

Den tyske producent af virksomhedsløsninger SAP har i sidste uge udgivet 18 nye advisories vedrørende patch-dagen for maj 2023. To af dem omhandler kritiske sårbarheder. Det skriver Security Week.

Den mest alvorlige sårbarhed har id’et CVE-2021-44152 (CVSS-score på 9,8). Det er en ukorrekt godkendelsesstjek, der kan gøre det muligt for en uautoriseret hacker at ændre adgangskoden til enhver brugerkonto.

Dansk
Keywords: 

Ny feature fra Apple: rapid patches

Apple udgav mandag sin første batch af offentligt tilgængelige ’rapid security patches’. Målet med denne nye feature er hurtigt at rette sikkerhedssårbarheder, der er under aktiv udnyttelse, eller som udgør 'betydelige risici for' brugere af Apples produkter. 

Det skriver Tech Crunch.

Ifølge en meddelelse fra Apple kommer de såkaldte rapid security-opdateringer med ’vigtige sikkerhedsforbedringer mellem softwareopdateringer.’

Dansk

Chrome 113 udgivet

Google har i denne uge udsendt version 113 af Chrome. Med denne kommer der 15 sikkerhedsrettelser, inklusive patches til 10 sårbarheder, som er rapporteret af researchere uden for Google-systemet. Det skriver Security Week.

Sårbarhederne i denne omgang ligger i den bløde ende. dvs. under 7 på CVSS-scalaen. Alligevel har fundet udløst over 30.000 dollar i bug-bounty-dusør. 

Dansk
Keywords: 

GitHub introducerer privat sårbarhedsrapportering

GitHub har gjort funktion til rapportering af sårbarheder i open source-depoter tilgængelig for alle projektejere.

Det skriver Help Net Security på baggrund af en advisory fra GitHub.

Funktionen har hidtil kun været tilgængelig i en betafunktion – men trods det, har ’vedligeholdere’ fra mere end 30.000 organisationer alligevel aktiveret privat sårbarhedsrapportering på mere end 180.000 depoter siden november 2022. Det har affødt mere end 1000 meddelelser fra sikkerhedsresearchere.

Dansk

Sider

Abonnér på RSS - sårbarheder