6. október 2023

Veikleikar í GNU C safninu (glibc), Android og TorchServe

Tilkynnt var um alvarlega veikleika í GNU C safninu, TorchServe og Android. CERT-IS mælir með að uppfæra án tafa og fylgja leiðbeiningum framleiðanda. Vegna veikleikans í Libwebp sem tilkynnt var um í vikunni hafa margir brugðist við og gefið út uppfærslu, Microsoft gaf út uppfærslu fyrir Edge, Teams og Skype [1]. Libwebp er notað í mörgum forritum og vöfrum og mælir CERT-IS með að fólk uppfæri forrit og vafra um leið og uppærsla hefur verið gefin út.

Veikleiki í GNU C (glibc)

Veikleikinn CVE-2023-4911 með CVSSv3 veikleikastig uppá 7.8 gerir ógnaraðila kleift að öðlast kerfisstjóraréttindi (e. Root privileges) með því að nota veilubragð á yfirflæði í biðminni (e. exploiting a buffer overflow) í ld.so í GNU C safninu [2]. Veikleikinn hefur verið uppfærður í glibc 2.34, fyrir þá sem hafa ekki tök á því að uppfæra í nýjustu útgáfur geta útfært mótvægisaðgerðir [3].

Veikleikar í TorchServe

Veikleikinn CVE-2023-43654 með CVSSv3 veikleikastig uppá 9.8 gerir ógnaraðila kleift að framkvæma beiðnafölsun á ytri netþjóni (e. Remote server-side request forgery) sem getur leitt til fjarkeyrslu á kóða [4]. Einnig getur ógnaraðili nýtt sér sjálfegnar stillingar (e. default settings) til þess að hlaða upp spilliforritum [5].

Veikleikar í Android

Android hefur gefið út tilkynningu vegna 54 veikleika, þar af fimm sem eru merktir sem alvarlegir og tveir þeirra er núþegar verið að misnota, CVE-2023-4863 veikleikinn í Libwebp er þar á meðal [6]. Veikleikinn CVE-2023-4211 er núþegar byrjað að misnota er ennþá í greiningu [7].