Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld bio udgivet i Zero Day den 14. februar 2022 | Emne: Sikkerhed
Adobe har udgivet en nødpatch til at tackle en kritisk fejl, der bliver udnyttet i naturen.
Den 13. februar sagde teknologigiganten, at sårbarheden påvirker AdobeCommerce og Magento Open Source, og ifølge firmaets trusselsdata bliver sikkerhedsfejlen bevæbnet “i meget begrænsede angreb rettet mod Adobe Commerce-handlere. “
Sporet som CVE-2022-24086, har sårbarheden fået en CVSS-score på 9,8 ud af 10, den maksimalt mulige sværhedsgrad.
Sårbarheden er et ukorrekt inputvalideringsproblem, beskrevet af kategorisystemet Common Weakness Enumeration (CWE) som en fejl, der opstår, når et “produkt modtager input eller data, men det ikke validerer eller validerer forkert det inputtet har de egenskaber, der kræves for at behandle dataene sikkert og korrekt.”
CVE-2022-24086 kræver ingen administratorrettigheder for at udløse. Adobe siger, at den kritiske fejl før godkendelse kan udnyttes til at udføre vilkårlig kode.
Da sårbarheden er alvorlig nok til at berettige en nødpatch, har virksomheden ikke frigivet nogen tekniske detaljer, hvilket giver kunderne tid til at acceptere rettelser og mindsker yderligere risici for udnyttelse.
Bugen påvirker Adobe Commerce (2.3.3-p1-2.3.7-p2) og Magento Open Source (2.4.0-2.4.3-p1) såvel som tidligere versioner.
Adobes patches kan downloades og anvendes manuelt her.
Tidligere på måneden udsendte Adobe sikkerhedsopdateringer til produkter, herunder Premiere Rush, Illustrator og Creative Cloud. Patch-runden tacklede blandt andet sårbarheder, der førte til vilkårlig kodeudførelse, denial-of-service (DoS) og privilegieeskalering.
I sidste uge udgav Apple en rettelse i iOS 15.3.1 for at udrydde en sårbarhed i Apples Safari-browser, som kunne udnyttes til vilkårlig kodeudførelse.
I februars Patch Tuesday løste Microsoft 48 sårbarheder, herunder en offentligt kendt nul-dages sikkerhedsfejl.
Tidligere og relateret dækning
Microsoft februar 2022 Patch tirsdag: 48 fejl knust, én nul-dag løst
SAP udgiver patches til ICMAD-sårbarheder, log4j-problemer, mere
Bliv opdateret: Apple frigiver iOS 15.3.1 patch til “aktivt udnyttet” sikkerhedsfejl
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre