Компания Microsoft выпустила октябрьские обновления безопасности
В рамках Patch Tuesday корпорация Microsoft выпустила патчи безопасности, закрывающие 84 уязвимости, 13 из которых являются критическими. Обновления включают в себя устранение активно эксплуатируемой уязвимости в системе отправки событий Windows — CVE-2022-41033, и исправление уязвимости в Microsoft Office — CVE-2022-41043. Однако еще две уязвимости нулевого дня в Microsoft Exchange — CVE-2022-41040 и CVE-2022-41082, — также называемые ProxyNotShell, остаются неисправленными.
Исследователи Aqua обнаружили атаку, раскрывающую имена частных пакетов npm
Npm имеет API-интерфейс реестра, который позволяет пользователям загружать пакеты и проверять их наличие. Если искомый пакет не существует или установлен как частный, веб-сайт вернет код ошибки HTTP 404. Исследователи обнаружили измеримую разницу в среднем времени, необходимом npm для ответа на запрос — является ли пакет закрытым или несуществующим. Раскрытые таким образом имена приватных пакетов в репозитории позволяют злоумышленникам публично размещать их вредоносные клоны. Если разработчики и тестировщики ПО, загрузившие поддельные пакеты, не обнаружат подмену, продукты могут попасть к конечным пользователям.
Компания FortiGate уведомила своих партнеров о наличии критической уязвимости в FortiOS и FortiProxy
Данная уязвимость является критической и получила оценку 9.8 по метрике CVSS. Она позволяет злоумышленнику обойти аутентификацию в административном интерфейсе, используя альтернативный канал[CWE-88] в FortiOS и FortiProxy, и выполнять команды от имени администратора с помощью специально созданных HTTP/HTTPS-запросов. Вендор рекомендует обновить FortiOS до версии 7.0.7 или 7.2.2, а FortiProxy — до версии 7.0.7 или 7.2.1.Также в своем бюллетене вендор предлагает workaround-решение, если нет возможности обновить версию программного обеспечения.