A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek három, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.

Az új Linux kernel biztonsági javítások elérhetőek:

A VMware cég biztonsági frissítéseket adott ki, hogy orvosolja azokat a nulladik napi (zero-day) sebezhetőségeket, amelyeket egymásba fűzve felhasználva  kód végrehajtása érhető el azokon a Workstation és Fusion rendszereken, amelyeket nem frissítettek a legújabb javításokkal. A két hiba (külső hivatkozás)része volt a Pwn2Own Vancouver 2023 rendezvényen bemutatott sérülékenységi láncnak, amelyet a STAR Labs csapata biztonsági kutatói mutattak be egy hónapja a hackerverseny második napján.

Az alábbi hibákra derült fény a szokásos keddi hibajavító napon, amelyk közül több súlyos, és azonnal javítandó, és a kárenyhítést is érdemes elvégezni. Az első a Microsoft Outlook jogosultságemelkedési hibát javított, amely lehetővé teszi, hogy speciálisan megalkotott e-mailek kényszerítsék a célpont eszközét arra, hogy csatlakozzon egy távoli URL-címhez, és átadja a Windows-fiók Net-NTLMv2 hash-ját. A hiba már akkor aktiválódik, mielőtt a levél megjelenne a előnézeti ablakban. A másik sebezhetőség aktív támadás alatt áll, bár ez sokkal kevésbé izgalmas. A sebezhetőség lehetővé teszi, hogy a támadók olyan fájlokat hozzanak létre, amelyek kikerülik a Mark of the Web (MOTW) védelmi mechanizmusait. A HTTP protokoll verem távoli kód végrehajtási sebezhetősége is elég súlyos, CVSS 9,8-as besorolású, és lehetővé teszi a távoli, hitelesítetlen támadók számára, hogy felhasználói interakció nélkül rendszer szintű kódot hajtsanak végre. Ez a kombináció lehetővé teszi a kódfertőzési láncolat gyors terjedését. Az Internet Control Message Protocol (ICMP) távoli kódvégrehajtási sebezhetősége, amely a jelenleg támogatott összes Windows rendszert érinti. Ugyanúgy összes Windows rendszert érinti egy távoli eljáráshívás (RPC) távoli kód végrehajtási sebezhetősége is. Illetve a támadók SYSTEM jogosultságot szerezhetnek egy megfelelően előkészített XPS fájlt kinyomtatva is.

A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek több, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak. Három héttel az előző biztonsági frissítések után, amelyek 17 sebezhetőséget orvosoltak, az új Linux kernel biztonsági javítások elérhetőek:

Az X.Org Server projekt csapata bejelentette a CVE-2023-0494(külső hivatkozás) (ZDI-CAN-19596(külső hivatkozás)) hiba javítását, amely a X.Org Server DeepCopyPointerClasses use-after-free hibát javítja. Ezzel a problémával helyi jogosultságszint emelést érhez el a rosszindulatú felhasználó az X szervert futtató rendszereken, valamint távoli kódvégrehajtást ssh X továbbító munkamenetek esetén. A javítás már elérhető, célszerű mihamarabb telepíteni.

A Git projekt új karbantartási kiadásokat jelentetett meg(külső hivatkozás), amelyek célja a két biztonsági hiba, a CVE-2022-41903(külső hivatkozás) és a CVE-2022-23521(külső hivatkozás) javítása. A felhasználóknak javasolt, hogy frissítsenek a legújabb kiadásra és ellenőrizzék a kódtárolójaikat a lehetséges biztonsági problémák kiszűrése miatt.

A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek 20, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.

Az új Linux kernel biztonsági javítások elérhetőek:

Nem szoktunk beszámolni minden Windows hibáról, mert akkor egy új weboldalt kellene neki nyitnunk. Mivel van, hogy a Linux rendszerek mellett elkerülhetetlen a Windows rendszerek felügyelete is, a kritikusabb hibákat szoktuk jelezni. A Microsoft december 13-án átminősítette az SPNEGO NEGOEX egy eredetileg szeptemberben javított sebezhetőségét, miután egy biztonsági kutató felfedezte, hogy az távoli kódfuttatáshoz vezethet.