Später im Januar veröffentlichte Google Chrome 121 für den stabilen Kanal und behob dabei 17 Sicherheitsprobleme, von denen drei als schwerwiegend eingestuft wurden. Diese beinhalten CVE-2024-0807ein Use-After-Free-Fehler in WebAudio, und CVE-2024-0812, eine Sicherheitslücke bei unangemessener Implementierung in Bezug auf Barrierefreiheit. Die letzte Sicherheitslücke mit großer Auswirkung ist CVE-2024-0808, ein Integer-Unterlauf in WebUI.
Natürlich sind diese Aktualisierungen wichtig, also überprüfen Sie sie und wenden Sie sie so bald wie möglich an.
Microsoft
Der Januar-Patchdienstag von Microsoft behebt fast 50 Fehler in seiner beliebten Software, darunter 12 RCE-Fehler (Remote Code Execution).
Es ist nicht bekannt, dass die in den Updates dieses Monats enthaltenen Sicherheitslücken für Angriffe genutzt wurden, es gibt jedoch bemerkenswerte Schwachstellen CVE-2024-20677ein Fehler in Microsoft Office, der es Angreifern ermöglichen könnte, schädliche Dokumente mit eingebetteten FBX-3D-Modelldateien zu erstellen, um Code auszuführen.
Um diese Sicherheitslücke zu schließen, wurde die Möglichkeit zum Einfügen von FBX-Dateien in Word, Excel, PowerPoint und Outlook für Windows und Mac deaktiviert. Laut Microsoft haben Office-Versionen, in denen diese Funktion aktiviert war, keinen Zugriff mehr darauf.
In der Zwischenzeit, CVE-2024-20674 ist eine Schwachstelle zur Umgehung der Windows Kerberos-Sicherheitsfunktion, die mit einem CVSS-Score von 8,8 als kritisch eingestuft wird. In einem Szenario für diese Sicherheitslücke könnte der Angreifer ein Opfer dazu verleiten, eine Verbindung zu einer vom Angreifer kontrollierten Schadanwendung herzustellen, so Microsoft. „Beim Herstellen einer Verbindung könnte der bösartige Server das Protokoll kompromittieren“, fügte der Softwareriese hinzu.
Mozilla Firefox
Mozillas Firefox ist dem marktbeherrschenden Konkurrenten Chrome auf den Fersen und hat in seinem neuesten Update 15 Sicherheitslücken behoben. Fünf der Fehler werden als hochschwer eingestuft, darunter CVE-2024-0741ein Schreibproblem außerhalb der Grenzen in Angle, das es einem Angreifer ermöglichen könnte, den Speicher zu beschädigen, was zu einem ausnutzbaren Absturz führen könnte.
Ein ungeprüfter Rückgabewert im TLS-Handshake-Code, verfolgt als CVE-2024-0743 könnte auch einen ausnutzbaren Absturz verursachen.
CVE-2024-0755 deckt Speichersicherheitsfehler ab, die in Firefox 122, Firefox ESR 115.7 und Thunderbird 115.7 behoben wurden. „Einige dieser Fehler zeigten Hinweise auf Speicherbeschädigung und wir gehen davon aus, dass einige davon mit genügend Aufwand hätten ausgenutzt werden können, um beliebigen Code auszuführen“, so Mozilla sagte.
Cisco
Der Unternehmenssoftwareriese Cisco hat gepatcht Eine Sicherheitslücke in mehreren Cisco Unified Communications- und Contact Center Solutions-Produkten, die es einem nicht authentifizierten Remote-Angreifer ermöglichen könnte, beliebigen Code auf einem betroffenen Gerät auszuführen.
Verfolgt als CVE-2024-20253 und mit einem satten CVSS-Score von 9,9 sagte Cisco, dass ein Angreifer die Schwachstelle ausnutzen könnte, indem er eine manipulierte Nachricht an einen Abhörport eines betroffenen Geräts sendet.
„Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, beliebige Befehle auf dem zugrunde liegenden Betriebssystem mit den Privilegien des Webdienstbenutzers auszuführen“, sagte Cisco. „Mit Zugriff auf das zugrunde liegende Betriebssystem könnte der Angreifer auch Root-Zugriff auf das betroffene Gerät erlangen“, warnte es.
SAFT
SAP hat im Januar 10 neue Sicherheitsfixes veröffentlicht Tag des Sicherheitspatchesdas mehrere Probleme mit einem CVSS-Score von 9,1 umfasst. CVE-2023-49583 ist ein Problem der Eskalation von Berechtigungen in Anwendungen, die mit SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE für SAP HANA entwickelt wurden.
In der Zwischenzeit, CVE-2023-50422 und CVE-2023-49583 sind Probleme mit der Eskalation von Berechtigungen in SAP Edge Integration Cell.
Ein weiterer bemerkenswerter Fehler ist CVE-2024-21737, eine Code-Injection-Schwachstelle im SAP Application Interface Framework, die einen CVSS-Score von 8,4 aufweist. „Ein anfälliges Funktionsmodul der Anwendung ermöglicht es einem Angreifer, verschiedene Ebenen zu durchqueren und Betriebssystembefehle direkt auszuführen“, so das Sicherheitsunternehmen Onapsis sagte. „Erfolgreiche Exploits können erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben.“