0-dagssårbarhed

Tre 0-dagssårbarheder i Apple-produkter

Apple har torsdag rettet tre 0-dagssårbarheder, som har været anvendt i angreb mod iPhone, Mac og iPad.

Det skriver Bleeping Computer og en række andre medier. Der er tale om tre selvstændige CVE-numre med id’erne CVE-2023-32409, CVE-2023-28204 og CVE-2023-32373. De påvirkede produkter er hhv. iPhone 8 og nyere. iPad Pro (alle), iPad Air 3rd Generation og nyere, iPad 5th generation og nyere og iPad mini 5th generation og nyere, iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), iPod touch (7th generation)

Dansk
Keywords: 

Google retter 0-dag

Google advarer om, at der er fundet en ny 0-dagssårbarhed i Chrome. Det skriver Security Week.

Sårbarheden har id’et CVE-2023-2136 og betegnes som et ’integer overflow issue’ i Skia. Google skriver i sin advisory, at man er bevidst om exploits af sårbarheden in-the-wild. CVE-2023-2136 er den anden 0-dags sårbarhed, der er rettet i Chrome i år, efter et ’type confusion issue’ i V8 JavaScript engine (CVE-2023-2033) blev rettet i forbindelse med en nødpatch i sidste uge.

Dansk

Google patchter årets 9. 0-dag

Google har udsendt sikkerhedsopdatering for at rette en ny 0-dages sårbarhed i Chrome-webbrowseren.

Det skriver Bleeping Computer og Security Affairs.

Sårbarheden har id’et CVE-2022-4262 og skyldes en 'type confusion' i Chrome V8 JavaScript-motoren. CVSS-score er endnu ikke tilgængelig.

Ifølge Mitre kan den slags sårbarheder generelt føre til nedbrud af browseren ved at læse eller skrive hukommelse uden for buffergrænserne. Den kan dog også udnyttes til vilkårlig kodeudførelse.

Dansk

Patch Tuesday retter nye 0-dagssårbarheder

Udnyttelse af 0-dagssårbarheder i Microsofts softwareprodukter viser ingen tegn på at blive mindre. Sådan skriver Security Week på baggrund af denne måneds Patch Tuesday fra Microsoft, som også er omtalt i en række andre medier.

I denne måned er der tale om rettelser af bl.a. seks 0-dagssårbarheder, der er under udnyttelse in-the-wild, hvorfor Microsoft opfordrer Windows-administratorer til at håndtere opdateringerne ’with outmost urgency’.

Dansk

Google retter 0-dagssårbarhed

Google har udsendt sikkerhedsopdatering til Chrome webbrowseren. Det skriver en række medier. Opdateringen håndterer en 0-dagssårbarhed, der allerede nu er kendt som værende under udnyttelse.

Der er tale om en alvorlig sårbarhed i Type Confusion i V8. Med opdateringen har Chrome nummer 107.0.5304.87 til Mac og Linux og 107.0.5304.87/.88 til Windows.

Dansk

Afbødning for 0-dage i Exchange omgået

Microsoft har revideret sine anbefalinger til afbødning af risikoen for udnyttelse af de nyligt afslørede og aktivt udnyttede 0-dags-fejl i Exchange Server.

Det skriver Bleeping Computer og The Hacker News.

De to sårbarheder har id’erne CVE-2022-41040 og CVE-2022-41082 og begge ligger i den høje ende på CVSS-skalaen med score på 8,8. Sårbarhederne har fået navnet ProxyNotShell – ifølge Hacker News på grund af ligheder med de ProxyShell-fejl, som blev rettet sidste år.

Dansk

Microsoft bekræfter 0-dagssårbarheder i Exchange

Det skriver Bleeping Computer som opfølgning på en historie fra tidligere i dag om, at et vietnamesisk sikkerhedsfirma, GTSC, havde fundet to sårbarheder i Exchange og rapporteret dem til Zero Day Initiative.

At Microsoft har bekræftet dem betyder også, at der er kommet id-numre på dem i form af CVE’erne CVE-2022-41040 og CVE-2022-41082. Den første er en Server-Side Request Forgery (SSRF) sårbarhed, mens den anden ifølge Microsoft tillader fjernafvikling af kode (RCE), når PowerShell er tilgængelig for angriber.

Dansk

Apple patcher 0-dage

Apple har i denne uge udrullet nødpatches, der adresserer et par allerede udnyttede 0-dages sårbarheder på macOS- og iOS-platformene.

Det skriver Security Week og Bleeping Computer.

Apple har selv bekræftet udnyttelserne, der vedrører fejl ved kodeudførelse i fuldt patchede iPhone-, iPad- og macOS-enheder. Ifølge Bleeping Computer har 0-dagssårbarhederne været brugt til at implementere NSO iPhone-spyware. Der er ingen detaljer om udnyttelsen eller givet oplysninger om IoC’er (indicators of compromise), der kan bruges til at finde tegn på infektioner.

Dansk

0-dagssårbarhed i Chrome

Google har udsendt 11 sikkerhedsrettelser til Chrome i denne uge, hvoraf en af dem håndterer en 0-dagssårbarhed, der pt. er under udnyttelse.

Det skriver Dark Reading.

Fejlen har id’et CVE-2022-2856 og karakteriseres som værende alvorlig – hvilket betyder en score på mellem syv og ni på CVSS-skalaen.

Dansk

Sider

Abonnér på RSS - 0-dagssårbarhed