iOS 16.4 van Apple: Beveiligingsupdates zijn beter dan Goose Emoji

iOS 16.4 van Apple: Beveiligingsupdates zijn beter dan Goose Emoji

Ondertussen rapporteerden onderzoekers van Google Project Zero 18 zero-day-kwetsbaarheden in Exynos-modems Gemaakt door Samsung. vier hardere –CVE-2023-24033De onderzoekers schreven in bloggen. “Tests uitgevoerd door Project Zero bevestigen dat de vier kwetsbaarheden een aanvaller in staat stellen een telefoon op basisbandniveau te compromitteren zonder tussenkomst van de gebruiker, waarbij de aanvaller alleen het telefoonnummer van het slachtoffer moet kennen”, schreven ze.

Getroffen apparaten zijn onder meer die in de S22-, M33-, M13-, M12-, A71-, A53-, A33-, A21s-, A13-, A12- en A04-serie, evenals de Google Pixel 6- en Pixel 7-serie.

De tijdlijnen van patches verschillen per fabrikant, maar de getroffen Pixel-apparaten hebben een oplossing gekregen voor alle vier kritieke kwetsbaarheden voor het uitvoeren van externe code, van internet tot de basisband. In de tussentijd kunnen gebruikers met getroffen apparaten zichzelf beschermen door bellen via wifi en Voice-over-LTE (VoLTE) uit te schakelen in hun apparaatinstellingen, zegt Google.

Google Chrome

Google heeft Chrome 111 van zijn populaire browser uitgebracht, waarin acht beveiligingslekken zijn verholpen, waarvan zeven geheugenbeveiligingsbugs met een hoge ernstclassificatie. Vier beveiligingsproblemen na gratis gebruik omvatten een ernstig probleem dat wordt gevolgd als CVE-2023-1528 In wachtwoorden en CVE-2023-1529, out-of-bounds geheugentoegangsfout in WebHID.

Ondertussen is CVE-2023-1530 een gratis te gebruiken bug in een pdf gerapporteerd door het VK Nationaal Centrum voor Cyber ​​Securityen CVE-2023-1531 is een zeer kritieke, gratis te gebruiken kwetsbaarheid in ANGLE.

Google weet niet welke problemen bij de aanvallen zijn gebruikt, maar gezien hun impact is het logisch om Chrome bij te werken wanneer dat mogelijk is.

Cisco

Enterprise-softwaregigant Cisco heeft het gepubliceerd De tweejaarlijkse beveiligingsbundel voor de iOS- en IOS XE-software die 10 beveiligingslekken verhelpt. Zes van de problemen die Cisco oploste, werden beoordeeld als hebbende een grote impact, waaronder CVE-2023-20080een denial of service-fout en CVE-2023-20065, privilege-escalatiefout.

Aan het begin van de maand, Cisco geïnstalleerd Meerdere kwetsbaarheden in de webgebaseerde beheerinterface van sommige Cisco IP-telefoons waardoor een niet-geverifieerde externe aanvaller willekeurige code kan uitvoeren of een denial of service kan veroorzaken. Met een CVSS-score van 9,8 is dit de slechtste CVE-2023-20078een beveiligingsprobleem in de webgebaseerde beheerinterface van de Cisco IP Phones 6800, 7800 en 8800 multi-platform telefoons.

Cisco zei dat een aanvaller dit beveiligingslek zou kunnen misbruiken door een voorbereid verzoek naar een webgebaseerde beheerinterface te sturen, eraan toevoegend: “Een succesvolle exploit kan de aanvaller in staat stellen willekeurige opdrachten uit te voeren op het onderliggende besturingssysteem van het getroffen apparaat.”

Vuur Vos

De privacybewuste ontwikkelaar is eigenaar van Mozilla uitgegeven Firefox 111 loste 13 beveiligingskwetsbaarheden op, waarvan er zeven de classificatie High Impact hebben. Dit omvat drie fouten in Firefox voor Android, waaronder CVE-2023-25749, waardoor apps van derden mogelijk ongevraagd werden geopend.

Ondertussen zijn twee bugs in de geheugenbeveiliging, CVE-2023-28176 en CVE-2023-28177, opgelost in Firefox 111. De bugs werden uitgebuit om willekeurige code uit te voeren”, aldus Mozilla.

vetplanten

Het is weer een maand met grote updates voor softwaremaker SAP, die… uitgegeven 19 nieuwe beveiligingsopmerkingen in onze March Security Patch Day-gids. Problemen die in de loop van de maand zijn opgelost, zijn onder meer vier met een CVSS-score van meer dan 9.

Een van de ergste hiervan CVE-2023-25616, een kwetsbaarheid voor code-injectie in het SAP Business Objects Business Intelligence Platform. Door deze kwetsbaarheid in de centrale beheerconsole kan een aanvaller willekeurige code injecteren met een “sterke negatieve impact” op de systeemintegriteit, vertrouwelijkheid en beschikbaarheid, meldt beveiligingsbedrijf Onapsis Hij zei.

Eindelijk, met een CVSS-score van 9,9, CVE-2023-23857 is een onjuiste toegangsbeheerfout in SAP NetWeaver AS voor Java. “Door de kwetsbaarheid kan een niet-geverifieerde aanvaller verbinding maken met een open interface en de open directory en naamgevings-API gebruiken om toegang te krijgen tot services”, aldus Onapsis.