CVE-2024-1553 und CVE-2024-1557 sind Speichersicherheitsfehler mit hohem Schweregrad. „Einige dieser Fehler zeigten Hinweise auf Speicherbeschädigung und wir gehen davon aus, dass einige davon mit genügend Aufwand hätten ausgenutzt werden können, um beliebigen Code auszuführen“, sagten Mozilla-Forscher.
Zoomen
Der Videokonferenzriese Zoom hat ausgegeben behebt sieben Fehler in seiner Software, von denen einer einen CVSS-Score von 9,6 aufweist. CVE-2024-24691 ist ein Fehler bei der Validierung falscher Eingaben im Zoom Desktop Client für Windows, Zoom VDI Client für Windows und Zoom Meeting SDK für Windows. Wenn das Problem ausgenutzt wird, kann es einem nicht authentifizierten Angreifer ermöglichen, seine Privilegien über den Netzwerkzugriff zu erweitern, sagte Zoom in einem Sicherheitsbulletin.
Ein weiterer bemerkenswerter Fehler ist CVE-2024-24697ein Problem mit nicht vertrauenswürdigen Suchpfaden in einigen 32-Bit-Windows-Clients von Zoom, das es einem authentifizierten Benutzer mit lokalem Zugriff ermöglichen könnte, seine Berechtigungen zu erweitern.
Ivanti
Im Januar, Ivanti gewarnt dass Angreifer zwei ungepatchte Schwachstellen in seinen Produkten Connect Secure und Policy Secure im Visier hatten, verfolgt als CVE-2023-46805 Und CVE-2024-21887. Mit einem CVSS-Score von 8,2 ermöglicht die erste Schwachstelle zur Authentifizierungsumgehung in der Webkomponente von Ivanti Connect Secure und Ivanti Policy Secure einem entfernten Angreifer den Zugriff auf eingeschränkte Ressourcen, indem er Kontrollprüfungen umgeht.
Mit einem CVSS-Score von 9,1 ermöglicht die zweite Schwachstelle durch Befehlsinjektion in Webkomponenten von Ivanti Connect Secure und Ivanti Policy Secure einem authentifizierten Administrator, speziell gestaltete Anfragen zu senden und beliebige Befehle auf der Appliance auszuführen. Diese Sicherheitslücke kann über das Internet ausgenutzt werden.
Ende des Monats machte das Unternehmen Unternehmen auf zwei weitere schwerwiegende Schwachstellen aufmerksam, von denen eine für Angriffe ausgenutzt wurde. Das ausgenutzte Problem ist ein serverseitiger Anforderungsfälschungsfehler in der SAML-Komponente, der als verfolgt wird CVE-2024-21893. Unterdessen handelt es sich bei CVE-2024-21888 um eine Sicherheitslücke zur Rechteausweitung.
Patches waren am 1. Februar verfügbar, aber die Probleme wurden als so schwerwiegend eingestuft, dass die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) geraten Abschalten aller Ivanti-Produkte bis zum 2. Februar.
Am 8. Februar veröffentlichte Ivanti einen Patch für ein weiteres Problem mit der Bezeichnung CVE-2024-22024, das eine weitere CISA-Warnung auslöste.
Fortinet
Fortinet hat ausgegeben ein Patch für ein kritisches Problem mit einem CVSS-Score von 9,6, das angeblich bereits bei Angriffen verwendet wird. Verfolgt als CVE-2024-21762, betrifft der Codeausführungsfehler die FortiOS-Versionen 6.0, 6.2, 6.4, 7.0, 7.2 und 7.4. Die Out-of-Bounds-Schreibschwachstelle kann für die Ausführung willkürlichen Codes mithilfe speziell gestalteter HTTP-Anfragen genutzt werden, so Fortinet.
Es kam nur wenige Tage nach der Firma freigegeben ein Patch für zwei Probleme in seinen FortiSIEM-Produkten, CVE-2024-23108 und CVE-2024-23109, die mit einem CVSS-Score von 9,7 als kritisch eingestuft wurden. Der Fehler im FortiSIEM Supervisor könnte es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen, nicht autorisierte Befehle über manipulierte API-Anfragen auszuführen, sagte Fortinet in einer Empfehlung.
Cisco
Cisco hat aufgeführt In seiner Expressway-Serie gibt es mehrere Schwachstellen, die es einem nicht authentifizierten Remote-Angreifer ermöglichen könnten, Cross-Site-Request-Forgery-Angriffe durchzuführen.
Verfolgt als CVE-2024-20252 Und CVE-2024-20254Zwei Schwachstellen in der API von Geräten der Cisco Expressway-Serie wurden mit einem CVSS-Score von 9,6 bewertet. „Ein Angreifer könnte diese Schwachstellen ausnutzen, indem er einen Benutzer der API dazu verleitet, einem manipulierten Link zu folgen“, sagte Cisco. „Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, beliebige Aktionen mit der Berechtigungsstufe des betroffenen Benutzers durchzuführen.“
SAFT
Das Unternehmenssoftwareunternehmen SAP hat im Rahmen seines Programms 13 Sicherheitsupdates veröffentlicht SAP Security Patch Day. CVE-2024-22131 ist eine Code-Injection-Schwachstelle in SAP ABA mit einem CVSS-Score von 9,1.
CVE-2024-22126 ist eine Cross-Site-Scripting-Schwachstelle in NetWeaver AS Java, die mit einem CVSS-Score von 8,8 als schwerwiegend eingestuft wird. „Eingehende URL-Parameter werden nicht ausreichend validiert und falsch codiert, bevor sie in Weiterleitungs-URLs aufgenommen werden“, so das Sicherheitsunternehmen Onapsis sagte. „Dies kann zu einer Cross-Site-Scripting-Schwachstelle führen, die große Auswirkungen auf die Vertraulichkeit und leichte Auswirkungen auf Integrität und Verfügbarkeit hat.“