Apple har torsdag rettet tre 0-dagssårbarheder, som har været anvendt i angreb mod iPhone, Mac og iPad.
Det skriver Bleeping Computer og en række andre medier. Der er tale om tre selvstændige CVE-numre med id’erne CVE-2023-32409, CVE-2023-28204 og CVE-2023-32373. De påvirkede produkter er hhv. iPhone 8 og nyere. iPad Pro (alle), iPad Air 3rd Generation og nyere, iPad 5th generation og nyere og iPad mini 5th generation og nyere, iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), iPod touch (7th generation)
Google advarer om, at der er fundet en ny 0-dagssårbarhed i Chrome. Det skriver Security Week.
Sårbarheden har id’et CVE-2023-2136 og betegnes som et ’integer overflow issue’ i Skia. Google skriver i sin advisory, at man er bevidst om exploits af sårbarheden in-the-wild. CVE-2023-2136 er den anden 0-dags sårbarhed, der er rettet i Chrome i år, efter et ’type confusion issue’ i V8 JavaScript engine (CVE-2023-2033) blev rettet i forbindelse med en nødpatch i sidste uge.
Google har udsendt sikkerhedsopdatering for at rette en ny 0-dages sårbarhed i Chrome-webbrowseren.
Det skriver Bleeping Computer og Security Affairs.
Sårbarheden har id’et CVE-2022-4262 og skyldes en 'type confusion' i Chrome V8 JavaScript-motoren. CVSS-score er endnu ikke tilgængelig.
Ifølge Mitre kan den slags sårbarheder generelt føre til nedbrud af browseren ved at læse eller skrive hukommelse uden for buffergrænserne. Den kan dog også udnyttes til vilkårlig kodeudførelse.
Udnyttelse af 0-dagssårbarheder i Microsofts softwareprodukter viser ingen tegn på at blive mindre. Sådan skriver Security Week på baggrund af denne måneds Patch Tuesday fra Microsoft, som også er omtalt i en række andre medier.
I denne måned er der tale om rettelser af bl.a. seks 0-dagssårbarheder, der er under udnyttelse in-the-wild, hvorfor Microsoft opfordrer Windows-administratorer til at håndtere opdateringerne ’with outmost urgency’.
Google har udsendt sikkerhedsopdatering til Chrome webbrowseren. Det skriver en række medier. Opdateringen håndterer en 0-dagssårbarhed, der allerede nu er kendt som værende under udnyttelse.
Der er tale om en alvorlig sårbarhed i Type Confusion i V8. Med opdateringen har Chrome nummer 107.0.5304.87 til Mac og Linux og 107.0.5304.87/.88 til Windows.
Microsoft har revideret sine anbefalinger til afbødning af risikoen for udnyttelse af de nyligt afslørede og aktivt udnyttede 0-dags-fejl i Exchange Server.
Det skriver Bleeping Computer og The Hacker News.
De to sårbarheder har id’erne CVE-2022-41040 og CVE-2022-41082 og begge ligger i den høje ende på CVSS-skalaen med score på 8,8. Sårbarhederne har fået navnet ProxyNotShell – ifølge Hacker News på grund af ligheder med de ProxyShell-fejl, som blev rettet sidste år.
Det skriver Bleeping Computer som opfølgning på en historie fra tidligere i dag om, at et vietnamesisk sikkerhedsfirma, GTSC, havde fundet to sårbarheder i Exchange og rapporteret dem til Zero Day Initiative.
At Microsoft har bekræftet dem betyder også, at der er kommet id-numre på dem i form af CVE’erne CVE-2022-41040 og CVE-2022-41082. Den første er en Server-Side Request Forgery (SSRF) sårbarhed, mens den anden ifølge Microsoft tillader fjernafvikling af kode (RCE), når PowerShell er tilgængelig for angriber.
Researchere ved et vietnamesisk sikkerhedsfirma oplyser, at trusselsaktører er i gang med at udnytte endnu ikke afslørede Microsoft Exchange 0-dagsfejl til fjernafvikling af kode.
Det skriver Bleeping Computer med henvisning til en blogpost fra virksomheden GTSC.
Apple har i denne uge udrullet nødpatches, der adresserer et par allerede udnyttede 0-dages sårbarheder på macOS- og iOS-platformene.
Det skriver Security Week og Bleeping Computer.
Apple har selv bekræftet udnyttelserne, der vedrører fejl ved kodeudførelse i fuldt patchede iPhone-, iPad- og macOS-enheder. Ifølge Bleeping Computer har 0-dagssårbarhederne været brugt til at implementere NSO iPhone-spyware. Der er ingen detaljer om udnyttelsen eller givet oplysninger om IoC’er (indicators of compromise), der kan bruges til at finde tegn på infektioner.