Ny Spectre-variant kan gi utvidet tilgang til minne på virtuelle servere. Sårbarheter i produkter fra Palo Alto, Juniper Networks, GitLab og Chromium-baserte nettlesere. Sviktende håndtering av bruker-input i flere programmeringsspråk i Windows.
Ny Spectre-variant kan gi utvidet tilgang til minne på virtuelle servere
Spectre er navnet på flere teknikker for å utnytte svakheter i måten moderne CPUer benytter seg av spekulativ kjøring av kode. Teknikken fører til stor økning i ytelsen, men kan gjøre at en prosess får tilgang til minnet til andre prosesser.
En ny variant av svakheten er nå offentliggjort av forskere ved Vrije Universiteit Amsterdam. Denne omgå flere av de mitigerende tiltak som Intel har innført for å stoppe svakheten. Svakheten er spesielt farlig i skymiljøer, der prosesser fra flere brukere kan kjøre på samme server.
Sårbarheter i produkter fra Palo Alto, Juniper Networks, GitLab og Chromium-baserte nettlesere
JustisCERT melder om nye sårbarheter:
Produkter fra Palo Alto Networks. Totalt 7 CVE ble publisert av Palo Alto den 10.04.2024, hvor 4 er kategorisert som alvorlig med CVSS-score 8.2 - 8.2). De alvorlige sårbarhetene berører Palo Alto PAN-OS. Palo Alto har publisert oppdateringer til støttede produkter.
Produkter fra Juniper Networks. Totalt 36 bulletiner ble publisert 10.04.2024, hvor 3 er kategorisert som kritisk med CVSS-score 9.8 og 10 som alvorlig. De kritiske sårbarhetene berører Juniper Cloud Native Router, Juniper cRPD, Junos OS og Junos OS Evolved. Juniper har publisert oppdateringer til støttede produkter.
GitLab Community Edition (CE) og GitLab Enterprise Edition (EE). Totalt 4 CVE ble publisert 10.04.2024, hvor 2 er kategorisert som alvorlig med CVSS-score 8.7. GitLab har publisert nødvendige oppdateringer.
Chromium-baserte nettlesere. Totalt 3 sårbarheter er rettet av Google i «Stable Channel Update for Desktop, 10. april 2024» for Windows, Mac og Linux, hvor alle 3 er kategorisert som alvorlig (CVE-2024-3157, CVE-2024-3515 og CVE-2024-3516). Vær oppmerksom på at selv om sårbarheter nå er rettet i Google Chrome så kan det ta noen dager før andre Chromium-baserte nettlesere får nødvendig oppdatering.
Sviktende håndtering av bruker-input i flere programmeringsspråk
I går hadde vi en sak om sviktende håndtering av bruker-input i Rust for Windows, som kan føre til injisering av kommandoer til operativsystemet. Det viser seg nå at flere programmerings-språk og -verktøy er utsatt for de samme problemene: Haskell, Node.js, PHP og yt-dlp. CERT ved Carnegie Mellon University har gitt ut veiledning rundt svakhetene.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.