CERT-In, jeudi, a émis des alertes pour les vulnérabilités détectées dans Chrome permettant aux attaquants distants d’exécuter du code arbitraire et de contourner les restrictions de sécurité, dans Cisco les vulnérabilités peuvent être exploitées pour effectuer des scripts intersites et divulguer des informations sensibles
CERT-In, jeudi, a émis des alertes pour les vulnérabilités détectées dans Chrome permettant aux attaquants distants d’exécuter du code arbitraire et de contourner les restrictions de sécurité, dans Cisco les vulnérabilités peuvent être exploitées pour effectuer des scripts intersites et divulguer des informations sensibles
Dans GoogleChrome
Ces vulnérabilités peuvent être exploitées par des attaquants distants en envoyant des requêtes spécialement conçues aux systèmes ciblés. Permettre d’exécuter du code arbitraire sur les systèmes ciblés et de contourner les restrictions de sécurité.
(Inscrivez-vous à notre newsletter sur la technologie, Today’s Cache, pour obtenir des informations sur les thèmes émergents à l’intersection de la technologie, des affaires et de la politique. Cliquez ici pour vous abonner gratuitement.)
Les vulnérabilités existent dans Chrome en raison de l’utilisation d’after-free dans FedCm, SwiftShader, Angle, Blink, le flux de connexion et le shell Chrome OS.
Débordement de tampon dans les téléchargements, validation insuffisante des entrées non fiables, application insuffisante des politiques dans les cookies et implémentation inappropriée dans l’API des extensions.
CERT-In a conseillé aux utilisateurs d’appliquer de toute urgence les correctifs de sécurité disponibles de Google car les vulnérabilités sont activement exploitées.
Dans le logiciel réseau Cisco
Les vulnérabilités de plusieurs produits Cisco auraient été utilisées par des attaquants pour exécuter du code arbitraire, accéder et divulguer des informations et effectuer des attaques de script intersite sur les systèmes concernés.
La vulnérabilité qui permet aux attaquants d’exécuter des codes arbitraires sur le logiciel existe dans Cisco Adaptive Security Device Manager (ADM) en raison du manque de vérification de signature appropriée qui existe entre l’ADM et le lanceur.
Cette vulnérabilité est exploitée par les attaquants en exploitant une position intermédiaire sur le réseau pour intercepter le trafic entre le lanceur et ADM et en injectant du code arbitraire.
L’exploitation de cette vulnérabilité pourrait permettre aux attaquants de faire des ajouts aux codes du logiciel avec les mêmes privilèges accordés au lanceur ADM, compromettant ainsi leur sécurité.
La vulnérabilité qui peut permettre aux attaquants de divulguer des informations sur les systèmes exécutant Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD) existe dans la gestion des clés RSA en raison d’une erreur logique.
Les attaquants peuvent utiliser cette vulnérabilité pour récupérer les clés privées RSA en utilisant une attaque par canal auxiliaire Lenstra contre les appareils ciblés.
La vulnérabilité de script intersite existe dans un composant VPN Web d’ASA en raison d’une validation incorrecte de l’entrée. Il peut être exploité en convainquant les utilisateurs de visiter un site Web qui peut envoyer des requêtes malveillantes à l’appareil ciblé.
Les vulnérabilités des logiciels Cisco peuvent également être exploitées par des attaquants en installant des images conçues de manière malveillante sur des appareils qui, lorsqu’elles sont accessibles par les utilisateurs, peuvent permettre aux attaquants d’exécuter du code arbitraire sur le système affecté. Cela permet aux attaquants d’obtenir des privilèges qui ne sont accordés qu’à l’utilisateur.
CERT-In a conseillé aux utilisateurs d’appliquer les correctifs de sécurité appropriés disponibles sur le site Web de Cisco pour corriger ces vulnérabilités.
