Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen
Flicken oder Patches
 
Microsoft  Exchange-Software
Zero-Days: Sicherheitsforscher sehen
rasanten Anstieg bei besonders gefährlichen Lücken<
Solar Winds
September 2023
Apple iOS und iPad OS
Microsoft
VMWare
CISCO
Fortinet
SAP
Google Android
Google Chrome
Oktober 2023
Google Chrome Google Android
WMWARE
Citrix
SAP
Microsoft
Apple iOS und iPad OS
W I R E D
Page 3
Page 1
Apple, Google und MOVEit haben gerade schwerwiegende Sicherheitslücken gepatcht und andere

Google Android
Es ist an der Zeit, Ihr Google Android-Gerät zu aktualisieren, da der Technologieriese sein Security Bulletin für Juni veröffentlicht hat. Das schwerwiegendste Problem, das von Google behoben wurde, ist eine kritische Sicherheitslücke in der Systemkomponente, die als CVE-2023-21108 verfolgt wird und zu RCE über Bluetooth führen könnte, ohne dass zusätzliche Ausführungsrechte erforderlich sind. Ein weiterer Fehler im System, der als CVE-2023-21130 verfolgt wird, ist ein RCE-Fehler, der ebenfalls als kritisch gekennzeichnet ist.

Einer der Fehler, die im Juni-Update behoben wurden, ist CVE-2022-22706, eine Schwachstelle in Arm-Komponenten, die der Chiphersteller im Jahr 2022 behoben hat, nachdem sie bereits bei Angriffen verwendet worden war.

Der Android-Patch vom Juni enthält auch CVE-2023-21127, einen kritischen RCE-Fehler im Framework, sowie CVE-2022-33257 und CVE-2022-40529 – zwei schwerwiegende Fehler in den Closed-Source-Komponenten von Qualcomm.

Das Android-Sicherheitsupdate ist für Googles Pixel-Handys verfügbar und wird ab sofort auf die Galaxy-Reihe von Samsung ausgerollt.

Google Chrome 114
Google hat Chrome 114 veröffentlicht und mehrere schwerwiegende Fehler behoben. Zu den gepatchten Fehlern gehört CVE-2023-3214, eine kritische Use-after-free-Schwachstelle bei Autofill-Zahlungen.

CVE-2023-3215 ist ein weiterer Use-after-free-Fehler in WebRTC, der als stark betroffen eingestuft wird, während CVE-2023-3216 ein Fehler mit hohem Schweregrad ist, der in V8 zu einer Typverwechslung führt. Eine abschließende Nutzung nach der Freigabe in WebXR wird ebenfalls als hoch eingestuft.

Anfang des Monats hat Google einen Fix für einen bereits ausgenutzten Typverwechslungsfehler, CVE-2023-3079, veröffentlicht. "Google ist sich bewusst, dass ein Exploit für CVE-2023-3079 in freier Wildbahn existiert", so der Browserhersteller.

MOVEit
Bereits Ende Mai entdeckte der Softwarehersteller Progress eine SQL-Injection-Schwachstelle in seinem MOVEit Transfer-Produkt, die zu erweiterten Berechtigungen und unbefugtem Zugriff führen konnte. Der als CVE-2023-34362 verfolgte Fehler wurde im Mai und Juni 2023 bei realen Angriffen ausgenutzt.

"Abhängig von der verwendeten Datenbank-Engine kann ein Angreifer möglicherweise Informationen über die Struktur und den Inhalt der Datenbank ableiten und SQL-Anweisungen ausführen, die Datenbankelemente ändern oder löschen", warnte Progress in einem Advisory.

Es stellte sich bald heraus, dass die Angriffe von der Clop-Ransomware-Gruppe durchgeführt wurden, die damit drohte, Daten preiszugeben, wenn die Opferorganisationen – zu denen mehrere US-Regierungsbehörden gehören – nicht bis Mitte Juni reagierten. Während Forscher des Sicherheitsunternehmens Huntress jedoch die Ausnutzung des Fehlers überwachten, fanden sie zusätzliche Schwachstellen, was zu einer weiteren Patch-Veröffentlichung führte. In der zweiten Runde der gepatchten Fehler werden SQL-Injection-Schwachstellen als CVE-2023-35036 verfolgt.

Am 15. Juni tauchte dann eine dritte Runde von Fehlern auf, die als CVE-2023-35708 verfolgt wurden, was zu einer weiteren Patch-Veröffentlichung führte.

Wenn Sie noch nicht gepatcht haben, ist es natürlich dringend erforderlich, dies so schnell wie möglich zu tun.



https://www.wired.com/story/apple-google-moveit-security-patches-june-2023-critical-update/