OpenSSL har gitt ut detaljer rundt varslede svakheter. Hackere fikk tilgang til interne data hos Dropbox.
OpenSSL har gitt ut detaljer rundt varslede svakheter
| OpenSSL har endelig gitt ut detaljer rundt svakhetene de har forhåndsvarslet patcher til. Sårbarheten CVE-2022-3602 har fått endret klassifisering fra "kritisk" til "høy", etter tilbakemelding fra samarbeidspartnere av OpenSSL. Kodeeksekveringen som kunne oppnås ved hjelp av buffer-overlow under sertifikatverifisering, krever at applikasjonen fortsetter å prøve å verifisere sertifikatet til tross for at oppkobling mot en verifisert utsender feiler. Dersom utnyttelse av svakheten er vellykket, kan angriperen kontrollere 4 bytes av stacken ved å bruke en spesielt utformet epost-adresse. Sikkerhetsadvarselen inkluderer også informasjon om CVE-2022-3786, en sårbarhet som ble oppdaget kort tid etter CVE-2022-3602. Denne svakheten kan kun utnyttes til å få programmet til å krasje, altså tjenestenekt. OpenSSL versjon 3.0.0 til 3.0.6 er påvirket av disse svakhetene og bør oppdatere til versjon 3.0.7. OpenSSL 1.0.2 og 1.1.1 ikke er påvirket. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.openssl.org/news/secadv/20221101.txt https://supportportal.juniper.net/s/article/2[...] |
Hackere fikk tilgang til interne data hos Dropbox
| 13. oktober ble det oppdaget at en trusselaktør hadde fått tilgang til og kopiert firmaets interne kodelager på GitHub. Innbruddet skjedde etter et vellykket phishing-angrep mot bedriften. Dropbox har meddelt at inntrengerne ikke har fått tak i brukerdata som passord, betalingsinformasjon eller filer. Det var Microsoft som gjorde Dropbox oppmerksom på mistenkelig aktivitet på GitHub. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.theregister.com/2022/11/01/dropbo[...] https://dropbox.tech/security/a-recent-phishi[...] |