Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen
Flicken oder Patches
 
Microsoft  Exchange-Software
Zero-Days: Sicherheitsforscher sehen
rasanten Anstieg bei besonders gefährlichen Lücken<
Solar Winds
September 2023
Apple iOS und iPad OS
Microsoft
VMWare
CISCO
Fortinet
SAP
Google Android
Google Chrome
Oktober 2023
Google Chrome Google Android
WMWARE
Citrix
SAP
Microsoft
Apple iOS und iPad OS
W I R E D
Page 2
Apple, Google und MOVEit haben gerade schwerwiegende Sicherheitslücken gepatcht und andere

Plus: Microsoft behebt 78 Schwachstellen, VMWare stopft eine Schwachstelle, die bereits bei Angriffen verwendet wurde, und weitere wichtige Updates vom Juni.
Illustration mit Fenstern mit Fehlern und Patches und dem Zahnradsymbol.
ABBILDUNG: WIRED STAFF

SOFTWARE-UPDATES IM SOMMER Apple, Google und Microsoft haben im Juni mehrere Patches für schwerwiegende Sicherheitslücken veröffentlicht. Unternehmen für Unternehmenssoftware waren ebenfalls fleißig und haben Korrekturen für beängstigende Lücken in den MOVEit-Produkten von VMWare, Cisco, Fortinet und Progress Software veröffentlicht.

Eine beträchtliche Anzahl von Sicherheitslücken, die im Laufe des Monats beseitigt wurden, werden bei realen Angriffen verwendet, also lesen Sie weiter, nehmen Sie es zur Kenntnis und patchen Sie Ihre betroffenen Systeme so schnell wie möglich.


 Apple
Kurz nach iOS 16.5 wurde im Juni ein Notfall-iPhone-Upgrade, iOS 16.5.1, veröffentlicht. Das neueste iPhone-Update behebt Sicherheitslücken in WebKit, der Engine, die Safari zugrunde liegt, und im Kernel im Herzen des iOS-Systems.

Beide Probleme, die als CVE-2023-32439 und CVE-2023-32434 verfolgt werden, sind Fehler bei der Codeausführung und wurden bei realen Angriffen verwendet, so Apple auf seiner Support-Seite.

Während die Details zu den bereits ausgenutzten Fehlern begrenzt sind, enthüllte das Sicherheitsteam Kaspersky, wie das Kernel-Problem genutzt wurde, um "iOS Triangulation"-Angriffe gegen seine Mitarbeiter durchzuführen. Die "Null-Klick"-Angriffe sind wirkungsvoll, da sie keine Interaktion des Benutzers erfordern, und verwenden eine unsichtbare iMessage mit einem bösartigen Anhang, um Spyware zu verbreiten.

Apple hat auch iOS 15.7.7 für ältere iPhones veröffentlicht, um die Kernel- und WebKit-Probleme sowie einen zweiten WebKit-Fehler zu beheben, der als CVE-2023-32435 verfolgt wird und ebenfalls von Kaspersky als Teil der iOS-Triangulationsangriffe gemeldet wurde.

In der Zwischenzeit hat Apple Safari 16.5.1, macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8 , watchOS 9.5.2 und watchOS 8.8.1 veröffentlicht.

 Microsoft
Microsofts Patch Tuesday Mitte Juni enthält Sicherheitsupdates für 78 Schwachstellen, darunter 28 RCE-Fehler (Remote Code Execution). Obwohl einige der Probleme schwerwiegend sind, ist es der erste Patch Tuesday seit März, der keine bereits ausgenutzten Fehler enthält.

Zu den kritischen Problemen, die im Juni-Update behoben wurden, gehört CVE-2023-29357, eine Schwachstelle bezüglich Rechteerweiterungen in Microsoft SharePoint Server mit einem CVSS-Score von 9,8. "Ein Angreifer, der Zugriff auf gefälschte JWT-Authentifizierungstoken erhalten hat, kann diese verwenden, um einen Netzwerkangriff auszuführen, der die Authentifizierung umgeht und es ihm ermöglicht, Zugriff auf die Berechtigungen eines authentifizierten Benutzers zu erhalten", so Microsoft.


CVE-2023-32031 und CVE-2023-28310 sind Sicherheitslücken bei der Remotecodeausführung von Microsoft Exchange Server, für deren Ausnutzung ein Angreifer authentifiziert werden muss.