Unterdessen haben Forscher von Googles Project Zero 18 Zero-Day-Schwachstellen in gemeldet Exynos-Modems hergestellt von Samsung. Die vier schwersten—CVE-2023-24033CVE-2023-26496, CVE-2023-26497 und CVE-2023-26498 – erlauben die Ausführung von Internet-zu-Basisband-Code aus der Ferne, schrieben die Forscher in a bloggen. „Von Project Zero durchgeführte Tests bestätigen, dass die vier Schwachstellen es einem Angreifer ermöglichen, ein Telefon auf Basisbandebene ohne Benutzerinteraktion aus der Ferne zu kompromittieren, und erfordern nur, dass der Angreifer die Telefonnummer des Opfers kennt“, schrieben sie.
Betroffen sind Geräte der Serien S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 und A04 sowie die Serien Pixel 6 und Pixel 7 von Google.
Patch-Zeitpläne variieren je nach Hersteller, aber betroffene Pixel-Geräte haben einen Fix für alle vier schwerwiegenden Internet-to-Baseband-Remote-Code-Execution-Schwachstellen erhalten. In der Zwischenzeit können sich Benutzer mit betroffenen Geräten schützen, indem sie Wi-Fi-Anrufe und Voice-over-LTE (VoLTE) in ihren Geräteeinstellungen deaktivieren, sagte Google.
Google Chrome
Google hat Chrome 111 seines beliebten Browsers veröffentlicht und acht Sicherheitslücken behoben, von denen sieben Speichersicherheitsfehler mit hoher Schweregradbewertung sind. Vier Use-after-free-Schwachstellen umfassen ein Problem mit hohem Schweregrad, das als verfolgt wird CVE-2023-1528 in Passwords und CVE-2023-1529, eine unzulässige Speicherzugriffslücke in WebHID.
Unterdessen ist CVE-2023-1530 ein Use-after-free-Bug in PDF, der von Großbritannien gemeldet wurde Nationales Zentrum für Cybersicherheitund CVE-2023-1531 ist eine Use-after-Free-Schwachstelle mit hohem Schweregrad in ANGLE.
Von keinem der Probleme ist Google bekannt, dass sie bei Angriffen verwendet wurden, aber angesichts ihrer Auswirkungen ist es sinnvoll, Chrome zu aktualisieren, wenn Sie können.
Cisco
Unternehmenssoftware-Gigant Cisco hat veröffentlicht das zweimal jährlich erscheinende Sicherheitspaket für seine IOS- und IOS XE-Software, das 10 Sicherheitslücken behebt. Sechs der von Cisco behobenen Probleme werden als stark beeinträchtigend eingestuft, einschließlich CVE-2023-20080ein Denial-of-Service-Fehler, und CVE-2023-20065, ein Fehler bei der Rechteausweitung.
Anfang des Monats hat Cisco Fest Mehrere Schwachstellen in der webbasierten Verwaltungsschnittstelle einiger Cisco IP-Telefone, die es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen könnten, beliebigen Code auszuführen oder Denial-of-Service zu verursachen. Mit einem CVSS-Score von 9,8 ist das Schlimmste CVE-2023-20078eine Schwachstelle in der webbasierten Verwaltungsschnittstelle von Multiplattform-Telefonen der Serien Cisco IP Phone 6800, 7800 und 8800.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine präparierte Anfrage an die webbasierte Verwaltungsschnittstelle sendet, sagte Cisco und fügte hinzu: „Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, beliebige Befehle auf dem zugrunde liegenden Betriebssystem eines betroffenen Geräts auszuführen.“
Feuerfuchs
Der datenschutzbewusste Entwickler Mozilla hat freigegeben Firefox 111, Behebung von 13 Sicherheitslücken, von denen sieben als hochgradig eingestuft werden. Dazu gehören drei Fehler in Firefox für Android, darunter CVE-2023-25749, die möglicherweise dazu geführt haben, dass Apps von Drittanbietern ohne Aufforderung geöffnet wurden.
Inzwischen wurden in Firefox 111 zwei Speichersicherheitsfehler, CVE-2023-28176 und CVE-2023-28177, behoben ausgenutzt, um willkürlichen Code auszuführen“, sagte Mozilla.
SAFT
Es ist ein weiterer Monat mit großen Updates für den Softwarehersteller SAP freigegeben 19 neue Sicherheitshinweise in seiner Anleitung zum Security Patch Day im März. Zu den im Laufe des Monats behobenen Problemen gehören vier mit einem CVSS-Score von über 9.
Eines der schlimmsten davon ist CVE-2023-25616, eine Code-Injection-Schwachstelle in SAP Business Objects Business Intelligence Platform. Diese Schwachstelle in der Central Management Console ermöglicht es einem Angreifer, beliebigen Code mit „starken negativen Auswirkungen“ auf die Integrität, Vertraulichkeit und Verfügbarkeit des Systems einzuschleusen, Sicherheitsfirma Onapsis genannt.
Schließlich, mit einem CVSS-Score von 9,9, CVE-2023-23857 ist ein fehlerhafter Zugriffskontrollfehler in SAP NetWeaver AS für Java. „Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, sich mit einer offenen Schnittstelle zu verbinden und eine offene Benennungs- und Verzeichnis-API zu verwenden, um auf Dienste zuzugreifen“, sagte Onapsis.