一、Firefox 107修補了有嚴重危害的漏洞(11.16)
Mozilla宣佈釋出Firefox 107。該流行網路瀏覽器的最新版本修補了大量漏洞。
詳細情況
Mozilla宣佈釋出Firefox 107。該流行網路瀏覽器的最新版本修補了大量漏洞。Firefox 107修補的安全漏洞共有19個被分配了CVE編號,其中9個被評為“高危”。
這些高危的漏洞包括可能導致資訊洩露的漏洞、可被用於欺騙攻擊的全屏通知繞過,以及釋放後使用漏洞引起的崩潰或任意程式碼執行。
Mozilla開發人員發現了多個記憶體安全漏洞都已經被分配了CVE編號以及“高危”評級。不過這一過程需要攻擊者要麼直接要麼透過錯誤配置的或被破壞的防火牆訪問系統網路。他們還可能在系統節點上安裝惡意軟體或利用惡意軟體感染網路。
Firefox 107版本修補的中危漏洞可能導致安全繞過、跨站點跟蹤、程式碼執行、透過檔案下載洩露、擊鍵洩漏和欺騙攻擊。Firefox修補的低危漏洞與安全異常和欺騙相關。
某些漏洞僅對Android或所有Unix的作業系統上的Firefox有影響。
102.5版本釋出後,Thunderbird 中也修補了許多安全漏洞。
Firefox不像Chrome那樣,總被威脅行為者盯上,但它太受歡迎了,也是一個誘人的攻擊物件。
今年早些時候,使用者收到警告,表示Firefox已經有兩個漏洞在攻擊中被利用。
參考連結
https://www.securityweek.com/firefox-107-patches-high-impact-vulnerabilities?&web_view=true
二、F5 修復了其產品中2個高危的遠端程式碼執行漏洞(11.16)
網路安全公司Rapid7的研究人員發現了影響F5產品的幾個漏洞和其他潛在的安全問題。
詳細資訊
Rapid7 研究人員在執行CentOS定製發行版的F5 BIG-IP和BIG-IQ裝置中發現了幾個漏洞。專家們還發現了幾個繞過安全控制,但安全供應商F5認為這些漏洞不是可利用的漏洞。
專家發現的漏洞有:
CVE-2022-41622 是透過影響 BIG-IP 和 BIG-IQ 產品的跨站點請求偽造 (CSRF) 進行的未經身份驗證的遠端程式碼執行。
“攻擊者可能會誘騙有資源管理者許可權及以上的使用者,透過iControl SOAP中的基本身份驗證來執行關鍵操作。攻擊者只能透過控制皮膚(而不是資料皮膚)來利用此漏洞。供應商釋出的公告中提到:“該漏洞被利用後,可能會危及整個系統”。
CVE-2022-41800 是一種經過身份驗證的遠端程式碼執行,透過駐留在裝置模式 iControl REST 中的 RPM 軟體包描述檔案注入。在裝置模式下,具有有效憑據並被分配了管理員角色的經過身份驗證的使用者可以繞過裝置模式的限制。
公告中還提到:“在裝置模式下,具有有效使用者憑據並分配了管理員角色的經過身份驗證的使用者可能能夠繞過裝置模式限制。 這是控制皮膚的問題;沒有資料皮膚暴露”。“裝置模式透過特定許可證強制執行,也可以在有單個虛擬群集多處理(vCMP)訪客例項時啟用或禁用。”
上述漏洞被評為高危級別。
2022年8月18日,Rapid7向F5報告了這兩個漏洞,並幫助供應商修復這兩個漏洞。
以下是F5因不可利用而拒絕繞過的安全控制:
ID1145045–透過錯誤的 UNIX 套接字許可權提升本地許可權 (CWE-269)
ID1144093–透過不正確的檔案上下文繞過 SELinux (CWE-732)
ID1144057–透過更新指令碼中的命令注入繞過 SELinux(CWE-78)
參考連結
https://securityaffairs.co/wordpress/138631/security/2-rce-f5-products.html?web_view