Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 25 July 2024

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.07.25

Google lanserer Chrome 127 med sikkerhetsoppdateringer. CrowdStrike lover bedre tester etter store IT problemer. Docker fikser kritisk AuthZ-autoriseringssårbarhet fra 2018.


Google lanserer Chrome 127 med sikkerhetsoppdateringer

Google kunngjorde tirsdag utgivelsen av Chrome 127 med oppdateringer for 24 sårbarheter, inkludert 16 rapportert av eksterne forskere. Minnefeil var igjen de mest utbredte sikkerhetsproblemene, inkludert fire med høy alvorlighetsgrad. Oppdateringen løser fem kritiske feil, inkludert tre use-after-free feil i Downloads, Loader og Dawn, en out-of-bounds minnetilgang i ANGLE, og en feilaktig implementering i Canvas. Chrome 127 fikser også åtte alvorlige feil, som en heap buffer overflow i Layout og use-after-free feil i Tabs, User Education og CSS. Google har utbetalt over $55,000 i bug bounty belønninger, hvor beløp for seks sårbarheter ennå ikke er bestemt. Brukere anbefales å oppdatere nettleseren så snart som mulig.

CrowdStrike lover bedre tester etter store IT problemer

CrowdStrike har lovet å forbedre sine programvaretester etter at en feilaktig oppdatering for Windows-systemer forårsaket et globalt IT-brudd på fredag. Feilen resulterte i problemer for banker, sykehus og flyselskaper, med millioner av PC-er som viste såkalte "blue screens". I en gjennomgang publisert onsdag, avslørte CrowdStrike at en feil i et system designet for å sikre programvareoppdateringer var årsaken. CrowdStrike har uttalt at bedre tester og kontroller vil forhindre lignende hendelser i fremtiden.

Docker fikser kritisk AuthZ-autoriseringssårbarhet fra 2018

Docker har utstedt en hasteoppdatering som retter en kritisk sårbarhet i Docker Engine som tillater angripere å omgå autorisasjonsplugins (AuthZ) under spesifikke omstendigheter.

Sårbarheten, merket som CVE-2024-41110 med en CVSS-score på 10/10, ble opprinnelig funnet og rettet i 2018, men etterfølgende patch i januar 2019 ble ikke videreført til senere hovedversjoner.

Docker advarer om at alle som er avhengige av autorisasjonsplugins for å gjøre tilgangskontrollbeslutninger kan potensielt være påvirket. Ondsinnede forespørseler mot Docker-daemon som ikke inneholder "body" (Content-Length = 0), kan føre til at forespørselen blir feilaktig godtatt av daemonen.

Berørte versjoner av Docker inkluderer Docker Engine versjoner <= v19.03.15 til <= v27.1.0, med patchede versjoner > v23.0.14 og > v27.1.0. Docker EE v19.03.x og alle versjoner av Mirantis Container Runtime er ikke sårbare.

Sårbarheter:

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

 
>