Beveiligingsadviezen van het NCSC
Er is een kwetsbaarheid verholpen in Veaam Backup & Replication. Deze kwetsbaarheid zit in de authenticatiefunctionaliteit van het product. Een ongeauthenticeerde kwaadwillende met toegang tot de netwerkport van de Backup Server, kan de kwetsbaarheid misbruiken om credentials te bemachtigen. Veeam meldt dat dit om versleutelde credentials gaat. Het NCSC heeft echter uit meerdere bronnen, zowel open als gesloten, vernomen dat het om plaintext credentials gaat. Zodoende kan de kwaadwillende zich toegang verschaffen tot de backup-infrastructuur.
Google heeft diverse kwetsbaarheden verholpen in Chrome. Een kwaadwillende op afstand kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:
Denial-of-Service (DoS)
(Remote) code execution (Gebruikersrechten)
Toegang tot gevoelige gegevens
Er is een kwetsbaarheid verholpen in Veaam Backup & Replication. Een ongeauthenticeerde kwaadwillende met toegang tot de netwerkport van de Backup Server, kan de kwetsbaarheid misbruiken om credentials uit de configuratie op te vragen. Middels deze credentials kan de kwaadwillende zich vervolgens toegang verschaffen tot de backup-infrastructuur.
Google Project Zero heeft veertien kwetsbaarheden ontdekt in Samsung Exynos Modems. Deze modems worden in elk geval gebruikt in de volgende mobiele devices:
Cisco heeft kwetsbaarheden verholpen in diverse Access Points. Een kwaadwillende kan de kwetsbaarheden misbruiken om een Denial-of-Service te veroorzaken op het kwetsbare systeem, of om willekeurige code uit te voeren als root.
Cisco heeft kwetsbaarheden verholpen in IOS XE. Een geauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om toegang te krijgen tot systeemgegevens, een Denial-of-Service te veroorzaken of om zichzelf verhoogde rechten toe te kennen en mogelijk willekeurige code uit te voeren op het kwetsbare systeem.
IBM heeft kwetsbaarheden verholpen in Aspera Faspex. Een kwaadwillende kan de kwetsbaarheden misbruiken om gevoelige gegevens te verkrijgen, of om mogelijk willekeurige code uit te voeren onder de rechten van het slachtoffer middels een XML External Entity injection-aanval (XXE).
