Microsoft patcher 117 svakheter. Adobe og SAP har gitt ut oppdateringer. Det har klosset seg til for LEGO.
Microsoft patcher 117 svakheter
Denne måneden patcher Microsoft 117 svakheter i forbindelse med patche-tirsdag. Tre av svakhetene regnes som kritiske. Fem svakheter har allerede blitt kjent før patchene ble gitt ut, og to av disse blir allerede utnyttet aktivt i angrep. Noen av de mer interessante svakhetene er:
CVE-2024-43572: En angriper kan få en bruker til å åpne en spesielt utformet MSC (Microsoft Save Console)-fil og dermed få kjørt vilkårlig kode. Denne svakheten har allerede blitt utnyttet.
CVE-2024-43573: Svakheten muliggjør spoofing i MSHTML-systemet, altså Internet Explorer og eldre versjoner av Edge. Denne svakheten har allerede blitt utnyttet aktivt, men det er ukjent nøyaktig hvordan.
CVE-2024-6197: Denne svakheten i CURL ble opprinnelig patchet i juli. Personene som vedlikeholder CURL opplyser at svakheten mest sannsynlig kun kan føre til krasj, ikke kjøring av tilfeldig kode.
CVE-2024-20659: Svakheten kan la en virtuell maskin forbigå UEFI ved reboot av host-maskinen for deretter å kompromittere hypervisoren og kernelen. Det kreves fysisk tilgang for å utnytte svakheten.
Adobe og SAP har gitt ut oppdateringer
Adobe har gitt ut oppdateringer for flere av sine produkter. De mest alvorlige svakhetene finnes i Adobe Commerce og Magento Open Source.
SAP har også gitt ut 6 sikkerhets-oppdateringerfor sin portefølje. De mest alvorlige svakhetene ligger i SAP BusinessObjects.
Klosset seg til for LEGO
LEGOs offisielle nettside ble nylig endret for å promotere en svindel-kryptovaluta. Hendelsen skjedde oktober 5. fra 03:00 til 04:15 norsk tid. I løpet av perioden erstattet angriperen hovedbanneret på LEGO.com med et bilde som reklamerte for "LEGO Coin" som angivelig kunne kjøpes med Ethereum. Til forskjell fra mange kryptosvindel-metoder, ledet denne brukere til den legitime Uniswap-plattformen (desentralisert kryptovaluta-børs) for å kjøpe den falske kryprovalutaen. LEGO bekrefter angrepet på nettsiden deres, men gir ingen detaljer om hendelsesforløpet. Angrepet var relativt mislykket, med få tusen kroner verdt av tokens kjøpt. LEGO har identifisert årsaken og implementerer tiltak for å forhindre fremtidige hendelser. Denne typen angrep på et så høyprofilert nettsted blir vanligvis ikke brukt kun for en kryptovaluta-svindel, da de kan gi angriperne mulighet for å tilegne seg sensitiv data som kundedata eller kredittkortinformasjon.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.