Gestion des correctifs C’est beaucoup plus facile à dire qu’à faire, et les équipes de sécurité sont souvent obligées de prioriser les correctifs pour plusieurs systèmes critiques pour l’entreprise, qui sont tous publiés en même temps. Par exemple, il est devenu courant que des dizaines de correctifs soient publiés sur Microsoft Patch mardiAvec autres fournisseurs passez aussi régulièrement à l’action.

Au dessous de, Professionnel de l’informatique rassembler les informations les plus urgentes des sept derniers jours, y compris des détails tels qu’un résumé du mécanisme d’exploitation et si la vulnérabilité est exploitée dans la nature. Cela a pour but de donner aux équipes une idée des erreurs et des lacunes qui peuvent représenter les risques immédiats les plus dangereux pour la sécurité.

DuckDuckGo corrige les bogues des extensions de navigateur

L’extension de navigateur DuckDuckGo Privacy Essentials est conçue pour protéger la confidentialité des utilisateurs en bloquant les traqueurs et les offres. fonctions de navigation privéeétait intégré avec deux vulnérabilités.

Les bogues dans les extensions Chrome, Firefox et Edge maintenant corrigés comprenaient un bogue de fuite de données ainsi qu’un bogue Scripts intersites (XSS) Vulnérabilité.

Le premier bug, selon les chercheurs, se concentrait sur les canaux non sécurisés pour certaines communications internes Vladimir Palantce qui aurait pu entraîner une perte de données dans les domaines.

Le bogue XSS le plus grave aurait maintenant pu être exploité par des pirates ayant accès au serveur DuckDuckGo pour espionner tous les sites Web visités par une victime, manipuler les informations d’affichage et confisquer les comptes d’utilisateurs.

Troisième Chrome Zero-Day attaqué en 2021

Google a corrigé cinq vulnérabilités dans son navigateur Web Chrome, y compris un bogue fatal dans le moteur Web du navigateur Chromium Blink que les pirates exploitent activement.

Suivi comme CVE-2021-21193, l’erreur de mémoire Use-After-Free est le troisième bogue Chrome détecté au cours des dernières semaines avec un exploit en ligne.

Google a corrigé le bogue avec un total de cinq bogues, y compris deux autres vulnérabilités hautement cotées suivies comme CVE-2021-21191 et CVE-2021-21192. Le premier est un autre bogue dans le composant WebRTC utilisé pour le streaming audio, tandis que le second est une vulnérabilité de dépassement de tampon de tas de groupe d’onglets.

7 millions de sites Web sont touchés par un plugin WordPress défectueux

Un bogue XSS dans le plugin Elementor WordPress activement installé sur plus de 7 millions de sites Web peut avoir permis à des utilisateurs non autorisés d’accéder à l’éditeur Elementor pour prendre le contrôle des sites Web cibles.

Elementor, l’un des plus grands constructeurs de sites WordPress gratuits, a été corrigé par la suite par ses développeurs Équipe de sécurité de Wordfence les a alertés sur l’existence de la vulnérabilité XSS modérée. Si la faille était exploitée, les pirates pourraient potentiellement infiltrer Elementor pour ajouter du JavaScript malveillant aux publications, puis exécuter ce code pour prendre le contrôle du site si la victime dispose de privilèges administratifs.

Pendant ce temps, Chercheurs avec PatchStack a identifié une vulnérabilité d’exécution de code à distance dans un autre plugin WordPress appelé WP Super Cache, utilisé pour la mise en cache de pages sur un site WordPress. Cette vulnérabilité aurait pu être exploitée par un pirate informatique pour télécharger du code malveillant sur un site Web cible et l’exécuter afin d’en prendre le contrôle.

Ressource connexe

Gestion des risques de sécurité et de la conformité dans un environnement difficile

Comment les partenaires technologiques évoluent-ils avec votre entreprise?

Livre blanc sur la gestion des risques de sécurité et de la conformitétélécharger maintenant

Cisco corrige les routeurs pour les petites entreprises

Cisco a identifié et corrigé une vulnérabilité de premier ordre dans une poignée de ses produits de routage pour petites entreprises.

Cette exécution de code à distance et Déni de service (DOS) La vulnérabilité identifiée comme CVE-2021-1287 a été intégrée dans l’interface de gestion Web du routeur VPN sans fil N Cisco RV132W ADSL2 + et du routeur VPN sans fil AC RV134W VDSL2. Des pirates à distance auraient pu exploiter le bogue pour exécuter du code sur un appareil affecté ou pour le redémarrer de manière inattendue.

L’interface d’administration désormais corrigée n’a pas pu valider correctement l’entrée utilisateur dans sa version précédente. Un attaquant peut avoir exploité cela en envoyant des requêtes HTTP spécialement conçues à un appareil affecté. Les attaques réussies lui permettent d’exécuter du code en tant qu’utilisateur root sur le système d’exploitation ou de recharger l’appareil. Cela entraînerait le verrouillage du routeur dans un état DOS.

Ressources sélectionnées

Le présent et l’avenir de l’informatique universitaire

Explorer le rôle critique de l’informatique pendant la pandémie et comment elle peut contribuer à façonner l’université de demain

télécharger maintenant

Le rapport des travailleurs

Comment la technologie peut stimuler la motivation, augmenter la productivité et renforcer la sécurité

télécharger maintenant

Comment les moniteurs approfondissent l’expérience de vos employés et soutiennent vos employés répartis

Augmentez les résultats de votre entreprise en responsabilisant, en responsabilisant et en inspirant les employés avec les bons moniteurs

télécharger maintenant

Approche proactive de la cybersécurité

Un guide complet du test de pénétration

télécharger maintenant



Source link

Recent Posts