Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday 4 December 2023

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.12.04

UEFI-feil gjør at bootkits kan kompromittere enheter ved hjelp av bilder. Alvorlige sårbarheter i Gitlab CE og EE.

UEFI-feil gjør at bootkits kan kompromittere enheter ved hjelp av bilder

Sårbarheter i UEFI-systemfirmware fra ledende leverandører tillater angripere å levere skadelig kode som omgår sikker oppstart på hundrevis av enheter. Sårbarhetene, kalt "LogoFail", utnytter sårbarheter i bildedekodings-biblioteker i firmware og påvirker enheter fra Intel, Acer, og Lenovo, og dekker både x86- og ARM-arkitekturer. Svakhetene kan brukes til å plante skadelig kode på som lastes inn før operativsystemet, og dermed er vanskelig å oppdage. Fullstendige detaljer vil bli avslørt på Black Hat Europe i London.

Alvorlige sårbarheter i Gitlab CE og EE

HelseCERT melder om alvorlige svakheter i Gitlab Community Edition og Enterprise Edition. To av sårbarhetene er kategorisert som alvorlige. Vellykket utnyttelse av sårbarhetene muliggjør:

- Eksekvering av JavaScript-kode i brukerens nettleser (CVE-2023-6033, CVSS på 8.7 ALVORLIG)

- Privilegieeskalering (CVE-2023-6396, CVSS på 8.1 ALVORLIG)

Anbefaling:

Oppdater til versjon 16.6.1, 16.5.3 eller 16.4.3.

Posted by tsoc at 12:45

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

Subscribe to: Post Comments (Atom)
 
>