Microsoft patchetirsdag mai 2024. Kritiske svakheter i VMware Workstation og Fusion. Google patcher enda en svakhet i Chrome som utnyttes. SAP har sluppet sin kvartalsvise oppdatering. Kritiske svakheter i produkter fra Adobe, blant annet Reader. Svakhet i WiFi-standarden kobler brukere til usikre nett.
Microsoft patchetirsdag mai 2024
Microsoft lanserte tirsdag kveld sine månedlige sikkerhetsoppdateringer. Denne måneden er én av svakhetene vurdert som kritisk av Microsoft. Denne påvirker Microsoft SharePoint Server. Sårbarheten lar en autentisert angriper kjøre vilkårlig kode på Sharepoint-serveren, dersom vedkommende har Site Owner-rettigheter.
To av svakhetene utnyttes allerede aktivt i angrep:
CVE-2024-30040: omgåelse av sikkerhetsmekanismer i Windows MSHTML. Svakheten kan føre til kjøring av vilkårlig kode, dersom brukeren blir lurt til å åpne et spesielt utformet dokument.
CVE-2024-30051: lokal privilegieeskalering i Windows DWM. Svakheten kan utnyttes av en vanlig bruker til å oppnå System-rettigheter. Den har blant annet blitt brukt av skadevaren QakBot til å få full tilgang til systemer.
Telenor anbefaler systemeiere å oppdatere programvaren på sine systemer til siste versjon så snart det lar seg gjøre.
Kritiske svakheter i VMware Workstation og Fusion
Broadcom melder om kritiske svakheter i VMware Workstation og Fusion. Svakhetene kan brukes for å få tilgang til sensitiv informasjon, tjenestenekt og kjøring av vilkårlig kode, under visse forhold. Den mest alvorlige svakheten er CVE-2024-22267 med CVSS på 9.3 av 10. Denne svakheten skyldes bruk av allerede frigjort minne i "vbluetooth"-enheten. Svakheten gjør det mulig for en bruker med system-tilgang til en virtuell maskin å kjøre kode som VMX-prosessen på host-systemet.
Vi anbefaler å installere nye versjoner av programvaren: Workstation versjon 17.5.2 og Fusion versjon 13.5.2.
Google patcher enda en svakhet i Chrome som utnyttes
Google har for andre gang på én uke patchet en svakhet i Chrome som allerede utnyttes aktivt i angrep. Svakheten har fått alvorlighetsgrad "høy" og gjelder skriving utenfor allokert minne i V8 JavaScript og WebAssembly-motoren. Svakheten ble meldt til Google 9. mai og det finnes tilgjengelig utnyttelseskode.
SAP har sluppet sin kvartalsvise oppdatering
SAP har gitt ut sin kvartalsvise sikkerhetsoppdatering med oppdateringer for en rekke produkter. Denne gangen er det 14 nye svakheter og også oppdateringer for 3 svakheter fra forrige kvartal. Vi anbefaler SAP-kunder å sette seg inn i oppdateringen!
Kritiske svakheter i produkter fra Adobe, blant annet Reader
Adobe har gitt ut 35 sikkerhets-oppdateringer til en rekke av sine produkter i forbindelse med patchetirsdag. Blant annet blir det patchet kritiske svakheter i mye brukte Acrobat og Acrobat Reader. Flere av disse svakhetene kan brukes til å få kjørt kode på et sårbart system, dersom en bruker lures til å åpne en spesielt uformet PDF-fil. Svakhetene gjelder både Windows og MacOS.
Det er også patcher for andre produkter som Illustrator, Substande 3D Painter, Aero, Animate osv.
Svakhet i WiFi-standarden kobler brukere til usikre nett
Sikkerhetsforskere har oppdaget en design-svakhet i WiFi-standarden som lar angripere lure ofre til å koble seg til usikre nettverk og avlytte datatrafikken. Feilen kan også utnytte muligheten for automatisk frakobling fra nettverk til å slå av VPN-kryptering for visse nettverk. Svakheten skal kunne utnyttes på alle WiFi-klienter og operativsystemer. Rapporten om svakheten foreslår forbedringer til WiFi-standarden for å bøte på problemene.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.