Beveiligingsadviezen van het NCSC
De ontwikkelaars van TYPO3 hebben diverse kwetsbaarheden verholpen in de core van TYPO3. De kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:
Cross-Site Request Forgery (XSRF)
Cross-Site Scripting (XSS)
(Remote) code execution (Gebruikersrechten)
SQL Injection
Toegang tot gevoelige gegevens
Er zijn 22 kwetsbaarheden verholpen in diverse SAP producten, waarvan 6 door SAP zijn ingeschaald als zeer urgent. SAP heeft slechts summiere informatie publiek beschikbaar gesteld. De kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:
Cross-Site Scripting (XSS)
Denial-of-Service (DoS)
Omzeilen van authenticatie
(Remote) code execution (Gebruikersrechten)
SQL Injection
Toegang tot gevoelige gegevens
Toegang tot systeemgegevens
Verhoogde gebruikersrechten
Google heeft kwetsbaarheden verholpen in Chrome. De kwetsbaarheden stellen een lokale kwaadwillende in staat systeeminformatie te verkrijgen en om een beveiligingsmaatregel te omzeilen.
De ontwikkelaars van Squid hebben diverse kwetsbaarheden verholpen in Squid proxy. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheden op afstand misbruiken om een Denial-of-Service te veroorzaken, toegang te krijgen tot gevoelige gegevens of willekeurige code uit te voeren met rechten van de applicatie.
Synacor heeft een kwetsbaarheid verholpen in Zimbra. De kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende in staat om op afstand met behulp van een zogenaamde Cross-Site-Scripting-aanval (XSS) willekeurige code uit te voeren onder rechten van webbrowser.
Er is een kwetsbaarheid verholpen in Mailman. De kwetsbaarheid stelt een kwaadwillende in staat willekeurige code te injecteren. Een kwaadwillende zou de kwetsbaarheid bijvoorbeeld kunnen gebruiken voor een phishing aanval.
F5 heeft een aantal kwetsbaarheden verholpen in BIG-IP Edge Client voor Windows (F5 Firepass). De kwetsbaarheden stellen een kwaadwillende in staat tot het uitvoeren van een Denial-of-Service (DoS) en het uitvoeren van ondertekende .exe- en MSI-bestanden.
