Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen
Flicken oder Patches
 
Microsoft  Exchange-Software
Zero-Days: Sicherheitsforscher sehen
rasanten Anstieg bei besonders gefährlichen Lücken<
Solar Winds
September 2023
Apple iOS und iPad OS
Microsoft
VMWare
CISCO
Fortinet
SAP
Google Android
Google Chrome
Oktober 2023
Google Chrome Google Android
WMWARE
Citrix
SAP
Microsoft
Apple iOS und iPad OS
W I R E D


Google Chrome


Plus: Microsoft behebt 78 Schwachstellen, VMWare stopft eine Schwachstelle, die bereits bei Angriffen verwendet wurde, und weitere wichtige Updates vom Juni.
Illustration mit Fenstern mit Fehlern und Patches und dem Zahnradsymbol.
ABBILDUNG: WIRED STAFF

SOFTWARE-UPDATES IM SOMMER Apple, Google und Microsoft haben im Juni mehrere Patches für schwerwiegende Sicherheitslücken veröffentlicht. Unternehmen für Unternehmenssoftware waren ebenfalls fleißig und haben Korrekturen für beängstigende Lücken in den MOVEit-Produkten von VMWare, Cisco, Fortinet und Progress Software veröffentlicht.

Eine beträchtliche Anzahl von Sicherheitslücken, die im Laufe des Monats beseitigt wurden, werden bei realen Angriffen verwendet, also lesen Sie weiter, nehmen Sie es zur Kenntnis und patchen Sie Ihre betroffenen Systeme so schnell wie möglich.

Google Chrome


Google hat Chrome 114 veröffentlicht und mehrere schwerwiegende Fehler behoben. Zu den gepatchten Fehlern gehört CVE-2023-3214, eine kritische Use-after-free-Schwachstelle bei Autofill-Zahlungen.

CVE-2023-3215 ist ein weiterer Use-after-free-Fehler in WebRTC, der als stark betroffen eingestuft wird, während CVE-2023-3216 ein Fehler mit hohem Schweregrad ist, der in V8 zu einer Typverwechslung führt. Eine abschließende Nutzung nach der Freigabe in WebXR wird ebenfalls als hoch eingestuft.

Anfang des Monats hat Google einen Fix für einen bereits ausgenutzten Typverwechslungsfehler, CVE-2023-3079, veröffentlicht. "Google ist sich bewusst, dass ein Exploit für CVE-2023-3079 in freier Wildbahn existiert", so der Browserhersteller.

MOVEit
Bereits Ende Mai entdeckte der Softwarehersteller Progress eine SQL-Injection-Schwachstelle in seinem MOVEit Transfer-Produkt, die zu erweiterten Berechtigungen und unbefugtem Zugriff führen konnte. Der als CVE-2023-34362 verfolgte Fehler wurde im Mai und Juni 2023 bei realen Angriffen ausgenutzt.

"Abhängig von der verwendeten Datenbank-Engine kann ein Angreifer möglicherweise Informationen über die Struktur und den Inhalt der Datenbank ableiten und SQL-Anweisungen ausführen, die Datenbankelemente ändern oder löschen", warnte Progress in einem Advisory.

Es stellte sich bald heraus, dass die Angriffe von der Clop-Ransomware-Gruppe durchgeführt wurden, die damit drohte, Daten preiszugeben, wenn die Opferorganisationen – zu denen mehrere US-Regierungsbehörden gehören – nicht bis Mitte Juni reagierten. Während Forscher des Sicherheitsunternehmens Huntress jedoch die Ausnutzung des Fehlers überwachten, fanden sie zusätzliche Schwachstellen, was zu einer weiteren Patch-Veröffentlichung führte. In der zweiten Runde der gepatchten Fehler werden SQL-Injection-Schwachstellen als CVE-2023-35036 verfolgt.

Am 15. Juni tauchte dann eine dritte Runde von Fehlern auf, die als CVE-2023-35708 verfolgt wurden, was zu einer weiteren Patch-Veröffentlichung führte.

Wenn Sie noch nicht gepatcht haben, ist es natürlich dringend erforderlich, dies so schnell wie möglich zu tun.