sårbarhed

RCE-sårbarhed i Spotifys Backstage

Der er opdaget en sårbarhed i Spotifys open source-projekt, Backstage. Det skriver Infosecurity Magazine.

Projektet har egentligt benævnelsen Cloud Native Computing Foundation (CNCF) og er Spotifys byggeplatform eller sandkassemiljø, hvor forskellig typer kode kan testes. Det er et researchteam fra Oxeye, som har formået at udnytte en sandkasseudslip fra en virtuel maskine (VM) via et tredjepartsbibliotek ved navn vm2.

Dansk

VMware advarer om tre kritiske huller

VMware har offentliggjort og rettet tre kritiske fejl i Workspace ONE Assist til Windows. Det skriver The Register og Bleeping Computer. Alle tre fejl har fået en høj score på 9,8 på CVSS-skalaen. Årsagen til den høje score er, at en angriber kan udnytte fejlene til at få administrator adgang. Det kan ske gennem angreb med lav kompleksitet, der ikke kræver brugerinteraktion.

Dansk
Keywords: 

Google retter 0-dagssårbarhed

Google har udsendt sikkerhedsopdatering til Chrome webbrowseren. Det skriver en række medier. Opdateringen håndterer en 0-dagssårbarhed, der allerede nu er kendt som værende under udnyttelse.

Der er tale om en alvorlig sårbarhed i Type Confusion i V8. Med opdateringen har Chrome nummer 107.0.5304.87 til Mac og Linux og 107.0.5304.87/.88 til Windows.

Dansk

VMware udsender sikkerhedsopdatering

VMware har udsendt sikkerhedsopdateringer til VMware Cloud Foundation. Det advarer CISA på baggrund af en advisory fra VMware. I forlængelse af sårbarhederne er der ifølge Bleeping Computer blevet offentliggjort en exploit-kode, hvilket øger sandsynligheden for udnyttelse betragteligt.

Der er tale om to sårbarheder med hver deres CVE-nummer, hhv. CVE-2021-39144 og CVE-2022-31678.

Dansk
Keywords: 

Kritisk sårbarhed i OCI tillod uautoriseret adgang

En ny sårbarhed i Oracle Cloud Infrastructure (OCI) har muliggjort uautoriseret adgang til cloud storage-volumener for alle brugere. Det skriver Infosecurity Magazine på baggrund af en advisory, der er udkommet i denne uge.

Fejlen, der har fået navnet AttachMe, blev opdaget af sikkerhedsfirmaet Wiz’ cloud-sikkerhedseksperter i juni.

Dansk

15 minutters vindue til at rette en sårbarhed

Systemadministratorer har nu endnu mindre tid til at rette sårbarheder end tidligere antaget. Det skriver Bleeping Computer efter at en ny rapport har afdækket, hvordan trusselsaktører scanner efter sårbare enheder inden for 15 minutter efter, at et ny CVE-nummer er blevet offentliggjort.

CVE-nummeret er det id-nummer, som en sårbarhed får hæftet på sig i forbindelse med offentliggørelse på National Vulnerability Database.

Dansk

Sårbarhed der kan give uautoriseret adgang i Cisco Nexus Dashboard

Flere sårbarheder i Cisco Nexus Dashboard kan give en hacker mulighed for at udføre vilkårlige kommandoer, læse eller uploade billedfiler samt udføre "cross-site request forgery attack" på tværs af websteder. Det skriver Security Week.

Rådgivning omkring softwareopdateringer findes på Ciscos hjemmeside (se nedenfor).

Links:

https://www.securityweek.com/cisco-patches-severe-vulnerabilities-nexus-dashboard

Dansk

Chrome får sikkerhedsopdatering

Google har udsendt version 103 af Chrome for at rette 14 sårbarheder. Det skriver Security Week.

Den mest alvorlige er en sårbarhed med id’et CVE-2022-2156, som anføres som værende kritisk og beskrives som en 'use after free'-sårbarhed.

Udnyttelse af use after free-sårbarheder kan føre til vilkårlig afvikling af kode, korruption af data eller denial-of-service. Hvis det kombineres med andre sikkerhedshuller, kan udnyttelsen føre til fuld kompromittering af systemer.

Dansk

Sider

Abonnér på RSS - sårbarhed