EN

Veikleikar í GNU C safninu (glibc), Android og TorchServe


Tilkynnt var um alvarlega veikleika í GNU C safninu, TorchServe og Android. CERT-IS mælir með að uppfæra án tafa og fylgja leiðbeiningum framleiðanda. Vegna veikleikans í Libwebp sem tilkynnt var um í vikunni hafa margir brugðist við og gefið út uppfærslu, Microsoft gaf út uppfærslu fyrir Edge, Teams og Skype [1]. Libwebp er notað í mörgum forritum og vöfrum og mælir CERT-IS með að fólk uppfæri forrit og vafra um leið og uppærsla hefur verið gefin út.

Veikleiki í GNU C (glibc)

Veikleikinn CVE-2023-4911 með CVSSv3 veikleikastig uppá 7.8 gerir ógnaraðila kleift að öðlast kerfisstjóraréttindi (e. Root privileges) með því að nota veilubragð á yfirflæði í biðminni (e. exploiting a buffer overflow) í ld.so í GNU C safninu [2]. Veikleikinn hefur verið uppfærður í glibc 2.34, fyrir þá sem hafa ekki tök á því að uppfæra í nýjustu útgáfur geta útfært mótvægisaðgerðir [3].

Veikleikar í TorchServe

Veikleikinn CVE-2023-43654 með CVSSv3 veikleikastig uppá 9.8 gerir ógnaraðila kleift að framkvæma beiðnafölsun á ytri netþjóni (e. Remote server-side request forgery) sem getur leitt til fjarkeyrslu á kóða [4]. Einnig getur ógnaraðili nýtt sér sjálfegnar stillingar (e. default settings) til þess að hlaða upp spilliforritum [5].

Veikleikar í Android

Android hefur gefið út tilkynningu vegna 54 veikleika, þar af fimm sem eru merktir sem alvarlegir og tveir þeirra er núþegar verið að misnota, CVE-2023-4863 veikleikinn í Libwebp er þar á meðal [6]. Veikleikinn CVE-2023-4211 er núþegar byrjað að misnota er ennþá í greiningu [7].

Tilvísanir:

[1] https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-open-source-libraries/
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-4911
[3] https://access.redhat.com/security/cve/CVE-2023-4911
[4] https://nvd.nist.gov/vuln/detail/CVE-2023-43654
[5] https://www.bleepingcomputer.com/news/security/shelltorch-flaws-expose-ai-servers-to-code-execution-attacks/
[6] https://www.bleepingcomputer.com/news/security/android-october-security-update-fixes-zero-days-exploited-in-attacks/
[7] https://nvd.nist.gov/vuln/detail/CVE-2023-4211

Scroll to Top