Apple har udgivet iOS- og iPadOS-opdateringer for at rette to sikkerhedsfejl, hvoraf det ene kunne have gjort det muligt for en brugers adgangskoder at blive læst op af dens VoiceOver-hjælpeteknologi.

Det skriver The Hacker News.

Sårbarheden har id’et CVE-2024-44204 og en CVSS-score på 7,5. Den beskrives som et logisk problem i den nye adgangskode-app og betyder, at en brugers gemte adgangskoder kan læses højt af VoiceOver.

Problemet er ifølge Apple blevet løst med forbedret validering.

Fejlen påvirker iOS 18.0 og iPadOS 18.0

Progress Software har udgivet opdateringer, der adresserer seks sikkerhedsfejl i WhatsUp Gold. To af fejlene er kritiske.

Det skriver The Hacker News m.fl.

Fejlene har følgende id-numre og CVSS-scorer:

Der er fundet flere sårbarheder i CUPS - en forkortelse for Common UNIX Printing System - som er det mest udbredte udskrivningssystem på Linux-systemer.

Det skriver Bleeping Computer.

Sårbarhederne er knyttet til forskellige funktioner i CUPS og har id’erne som CVE-2024-47076 (libcupsfiltre), CVE-2024-47175 (libppd), CVE-2024-47176 (cups-browsed) og CVE-2024-47177 (cups-filtre).

Sårbarhedernes CVSS-scorer spænder fra 8,6 til 9,1.

HPE Aruba Networking har udsendt en meddelelse om, at der er fundet tre kritiske sårbarheder i deres Access Points og at sårbarhederne er håndteret med nye opdateringer. Det fremgår af en supportmeddelelse fra HPE.

Udnyttelse af sårbarhederne gør det muligt for en ikke-autentificeret angriber at afvikle kode fra ”remote”. Udnyttelse forudsætter netværksadgang til enheden.

Sårbarheden har id’erne CVE-2024-42505, CVE-2024-42506 og CVE-2024-42507. De har alle en CVSS-score på 9.8.

Berørte produkter er:

En sårbarhed, der påvirker Ivantis Virtual Traffic Manager-applikationsleveringscontroller, bliver udnyttet in-the-wild.

Sådan lyder den nedslående melding fra Ivanti, som Security Week refererer til i en nyhedsartikel i går. Også Dark Reading omtaler sagen.

Særligt nedslående er det, fordi det er den tredje fejl, som Ivanti-kunder har modtaget en sådan advarsel for inden for de seneste to uger.

GitLab har udgivet sikkerhedsopdateringer for at løse en kritisk SAML-autentificeringsomgåelse af sårbarhed, der påvirker selvadministrerede installationer af GitLab Community Edition (CE) og Enterprise Edition (EE).

Det skriver Bleeping Computer.

Sårbarheden har id’et CVE-2024-45409 og har fået tildelt en score på 10.0 på CVSS-skalaen.  

Fejlen påvirker GitLab versioner før 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 og alle tidligere udgivelser i disse generationer. Fejlen er blevet rettet ved at opgradere OmniAuth SAML til version 2.2.1 og Ruby-SAML til 1.17.0.

Ivanti har frigivet en ny patch til Cloud Services Appliance (CSA), der adresserer en "Path Traversal" sårbarhed i CSA.

Det skriver Security Affairs og Bleeping Computer på baggrund af en advisory fra Ivanti.

Sårbarheden har id’et CVE-2024-8963 og CVSS-score på 9,4.

De påvirkede versioner er CSA 4.6 (alle versioner før Patch 519). 

Broadcom har rettet en kritisk VMware vCenter Server sårbarhed, som ondsindede aktører kan udnytte til at afvikle kode fra "remote” på sårbare systemer.

Det skriver Security Week og en række andre medier på baggrund af en advisory fra Broadcom.

Microsoft melder nu, at en spoofing-sårbarhed, der påvirker Windows MSHTML, er blevet udnyttet som en del af en angrebskæde.

SolarWinds har udsendt en sikkerhedsopdatering, som lukker for udnyttelse af to sårbarheder, hvori den ene er kritisk og kan føre ”remote code execution” med sig.

Det skriver Security Affairs på baggrund af advisories fra SolarWinds.

Sårbarhederne har id’erne CVE-2024-28991 (CVSS-score på 9.0) og CVE-2024-28990 (CVSS-score 6.3). De berørte produkter er SolarWinds Access Rights Manager (ARM) versioner før 2024.3.1.