D’autres problèmes résolus en octobre sont un débordement de mémoire tampon dans WebSQL suivi en tant que CVE-2022-3446 et un bogue d’utilisation après libération dans l’API Permissions suivi en tant que CVE-2022-3448, a écrit Google dans son blog. Google a également corrigé deux bogues d’utilisation après libération dans Safe Browsing et Peer Connection.
Google Androïd
Le bulletin de sécurité Android d’octobre comprend des correctifs pour 15 failles dans le cadre et le système et 33 problèmes dans les composants du noyau et du fournisseur. L’un des problèmes les plus préoccupants est une vulnérabilité de sécurité critique dans le composant Framework qui pourrait conduire à une escalade locale des privilèges, suivie comme CVE-2022-20419. Pendant ce temps, une faille dans le noyau pourrait également conduire à une élévation locale des privilèges sans qu’aucun privilège d’exécution supplémentaire ne soit nécessaire.
Aucun des problèmes n’est connu pour avoir été utilisé dans des attaques, mais il est toujours logique de vérifier votre appareil et de le mettre à jour lorsque vous le pouvez. Google a publié la mise à jour de ses appareils Pixel et elle est également disponible pour les smartphones des séries Samsung Galaxy S21 et S22 et le Galaxy S21 FE.
Cisco
Cisco a exhorté les entreprises à corriger deux failles dans son AnyConnect Secure Mobility Client pour Windows après avoir confirmé que les vulnérabilités sont utilisées dans des attaques. Suivi sous le nom de CVE-2020-3433, le premier pourrait permettre à un attaquant disposant d’informations d’identification valides sur Windows d’exécuter du code sur la machine affectée avec des privilèges système.
Pendant ce temps, CVE-2020-3153 pourrait permettre à un attaquant disposant d’informations d’identification Windows valides de copier des fichiers malveillants vers des emplacements arbitraires avec des privilèges au niveau du système.
L’agence américaine de cybersécurité et de sécurité des infrastructures a ajouté les failles Cisco à son catalogue de vulnérabilités déjà exploitées.
Bien que les deux failles de Cisco nécessitent que l’attaquant soit authentifié, il est toujours important de mettre à jour maintenant.
Zoom
Le service de vidéoconférence Zoom a corrigé plusieurs problèmes en octobre, notamment une faille dans son client Zoom pour les réunions, qui est marquée comme ayant une gravité élevée avec un score CVSS de 8,8. Zoom indique que les versions antérieures à la version 5.12.2 sont sensibles à une vulnérabilité d’analyse d’URL identifiée comme CVE-2022-28763.
“Si une URL de réunion Zoom malveillante est ouverte, le lien peut ordonner à l’utilisateur de se connecter à une adresse réseau arbitraire, entraînant des attaques supplémentaires, notamment des prises de contrôle de session”, a déclaré Zoom dans un bulletin de sécurité.
Plus tôt dans le mois, Zoom a alerté les utilisateurs que son client pour les réunions pour macOS à partir de 5.10.6 et avant 5.12.0 contenait une mauvaise configuration du port de débogage.
VMWare
Le géant du logiciel VMWare a corrigé une grave vulnérabilité dans sa Cloud Foundation
Suivi en tant que CVE-2021-39144. La vulnérabilité d’exécution de code à distance via la bibliothèque open source XStream est classée comme ayant une gravité critique avec un score de base CVSSv3 maximum de 9,8. “En raison d’un point de terminaison non authentifié qui exploite XStream pour la sérialisation des entrées dans VMware Cloud Foundation, un acteur malveillant peut obtenir l’exécution de code à distance dans le contexte de” racine “sur l’appliance”, a déclaré VMWare dans un avis.
La mise à jour de VMware Cloud Foundation corrige également une vulnérabilité d’entité externe XML avec un score de base CVSSv3 inférieur de 5,3. Suivi sous le numéro CVE-2022-31678, le bogue pourrait permettre à un utilisateur non authentifié d’effectuer un déni de service.
Zimbra
La société de logiciels Zimbra a publié des correctifs pour corriger une faille d’exécution de code déjà exploitée qui pourrait permettre à un attaquant d’accéder aux comptes d’utilisateurs. Le problème, suivi en tant que CVE-2022-41352, a un score de gravité CVSS de 9,8.
L’exploitation a été repérée par les chercheurs de Rapid7, qui ont identifié des signes qu’elle avait été utilisée dans des attaques. Zimbra a initialement publié une solution de contournement pour y remédier, mais maintenant que le correctif est disponible, vous devez l’appliquer dès que possible.
SÈVE
La société de logiciels d’entreprise SAP a publié 23 notes de sécurité nouvelles et mises à jour lors de son Patch Day d’octobre. Parmi les problèmes les plus graves figure une vulnérabilité critique de traversée de chemin dans SAP Manufacturing Execution. La vulnérabilité affecte deux plugins : Work Instruction Viewer et Visual Test and Repair et a un score CVSS de 9,9.
Un autre problème avec un score CVSS de 9,6 est une vulnérabilité de piratage de compte dans la page de connexion SAP Commerce.
Oracle
Le géant du logiciel Oracle a publié 370 correctifs dans le cadre de sa mise à jour de sécurité trimestrielle. La mise à jour du correctif critique d’Oracle pour octobre corrige 50 vulnérabilités jugées critiques.
La mise à jour contient 37 nouveaux correctifs de sécurité pour Oracle MySQL, dont 11 sont exploitables à distance sans authentification. Il contient également 24 nouveaux correctifs de sécurité pour Oracle Financial Services Applications, dont 16 sont exploitables à distance sans authentification.
En raison de “la menace posée par une attaque réussie”, Oracle “recommande fortement” aux clients d’appliquer les correctifs de sécurité Critical Patch Update dès que possible.
