Alvorlig nulldagssårbarhet i Word ble offentliggjort i helgen. GitHub lagret passord til npm-brukere i klartekst.
Alvorlig nulldagssårbarhet i Word ble offentliggjort i helgen
Et Word-dokument som nylig ble lastet opp til Virustotal fra en IP-adresse i Belarus, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Svakheten lar seg utnytte, selv uten at makroer er aktivert i Word. Et dokument som skal utnytte svakheten, bruker en funksjon for bruk av eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes supportverktøyet ms-msdt til å laste kode og å kjøre denne i PowerShell. Sikkerhetsforskeren Kevin Beaumont har fått svakheten til å fungere mot Office 2013, 2016 og 2021. Siste versjonen av Office 365 skal ikke være sårbar. Svakheten skal ha blitt utnyttet allerede i april. |
||||
Referanser | ||||
---|---|---|---|---|
https://www.digi.no/artikler/alvorlig-nulldag[...] https://doublepulsar.com/follina-a-microsoft-[...] https://www.huntress.com/blog/microsoft-offic[...] |
GitHub lagret passord til npm-brukere i klartekst
GitHub har avslørt at de har lagret "et antall brukeres " påloggings-informasjon for npm-registeret i klartekst. Informasjonen ble lagret i interne logger etter at JavaScript-pakkeregisteret ble integrert i GitHubs loggsystem. Ingen skal ha fått tak i informasjonen, selv om den var lagret i klartekst internt. | ||||
Referanser | ||||
---|---|---|---|---|
https://www.theregister.com/2022/05/27/github[...] |