Google avslører nulldags-sårbarhet i Windows under aktiv utnyttelse. Enda en kritisk svakhet i Oracle WebLogic.
Google avslører nulldags-sårbarhet i Windows under aktiv utnyttelse
| Google avslørte en nulldags sårbarhet i Windows som aktivt blir utnyttet av angripere. Angriperne bruker først en svakhet i Google Chrome (CVE-2020-15999) for å få tilgang til å kjøre kode inne i Chrome sin sandbox. Deretter bruker de svakheten i Windows Kernel (CVE-2020-17087) til å bryte seg ut av sandboxen og kjøre koden direkte i Windows. Svakheten i Chrome er allerede fikset i versjon 86.0.4240.111, så den opprinnelige exploit-kjeden lar seg ikke utføre lengre. Aktører kan imidlertid benyte seg av svakheter i annen programvare for å få seg et fotfeste på Windows-maskiner. Windows exploiten fungerer mot både windows 7 og 10, og har så langt ikke fått noen oppdatering som fikser feilen. Neste patche-tirsdag er 10. november, og svakheten vil antageligvis bli utbedret da. |
||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater til siste versjon av Chrome og vent på Windows-fiks. | ||||
| Referanser | ||||
|
https://www.zdnet.com/article/google-disclose[...] https://arstechnica.com/information-technolog[...] https://bugs.chromium.org/p/project-zero/issu[...] |
||||
Enda en kritisk svakhet i Oracle WebLogic
| Oracle melder om en ny kritisk svakhet i WebLogic. Svakheten har fått navnet CVE-2020-14750, og kan utnyttes av en angriper uten å autentisere seg mot web-serveren. Den er relatert til den nylig omtalte svakheten CVE-2020-14882, som ble patchet i Oracles kvartalsvise oppdatering og som har blitt akvivt utnyttet de siste dagene. Oracle har gitt ut patcher som vi anbefaler å installere så fort som mulig. |
||||
| Anbefaling | ||||
|---|---|---|---|---|
| Installer patcher. | ||||
| Referanser | ||||
|
https://www.oracle.com/security-alerts/alert-[...] |
||||