Suppware

גרסה חדשה ועדכנית (7.13) של תוכנת הדחיסה WinRAR זמינה להורדה. גרסה זו כוללת תיקון של פגיעות (vulnerability) שהתגלתה בגרסה קודמת.

 Microsoft Releases Guidance on High-Severity Vulnerability (CVE-2025-53786) in Hybrid Exchange Deployments | CISA

יצרנית המשבים Dell (דל) שחררה עדכונים המתקנים פרצה (פגיעות) קריטית שהתגלתה ברכיבים מתוצרת Broadcom המותקנים ביותר מ- 100 דגמי מחשבים מתוצרץ החברה ובמיליוני מחשבים סה"כ. פרצת האבטחה התגלה ברכיב הנקרא Broadcom BCM5820X עלולה לאפשר לגורמים עויינים להשתלט על מחשבים בהם מותקן הרכיב, להשיג גישה לסיסמאות לקבצים ולחומרים רגישים המאוחסנים במחשבים.

 אדובי (Adobe) שחררה עדכון אבטחה דחוף המתקן שתי פגיעות (vulnerabilities) קריטיות ב- Adobe Experience Manager Forms on Java Enterprise Edition (JEE). עדכון האבטחה הדחוף שוחרר לאחר שקוד מסוג PoC / proof-of-concept המנצל את הפגיעויות שוחרר לרשת (Zero-day).

חולשות ופגיעויות (vulnerabilities) התגלו בחלק מדגמי לוחות האם (motherboard) של חברת Gigabyte. עדכוני BIOS שיתקנו את הבעיה ישוחררו בקרוב.

חוקרי אבטחה מחברת Rapid7 זיהו 8 חולשות ופגיעויות (vulnerabilities) ב- 689 מדפסות, סורקים והתקני הפקת מדבקות מתוצרת חברת Brother. פגיעויות אלו התגלו גם במדפסות והתקנים (במספרים קטנים בהרבה) מתוצרת Fujifilm, Toshiba, Fujifilm, Toshiba, Konica Minolta ו- Ricoh. הפגיעות המשמעותית ביותר היא פגיעות קריטית ( CVE-2024-51978 ) המאפשרת לגורם עוין להתחבר למדפסת ולשנות את סיסמת ה- Administrator המוגדרת. 

פגיעות (Vulnerability) שהתגלתה בגרסאות ישנות של יישום הדחיסה הנפוץ 7Zip מאפשרת לגורמים עויינים לעקוף את מנגנון האבטחה Mark-of-the-Web. גרסה 24.09 ששוחררה כבר ב- 29/11/2024 כוללת תיקון לבעיה. אנו ממליצים למשתמשי היישום להתקין את הגרסה החדשה בדחיפות.

 "לאחרונה דווחה פגיעות בתוכנת הארכיב והדחיסה הפופולרית 7Zip. הפגיעות עלולה לאפשר לתוקף הרצת קוד מרחוק באמצעות משלוח קובץ ספציפי ופתיחתו על ידי הנמען. מומלץ מאד בחינה ועדכון התוכנה לגרסה העדכנית ביותר בהקדם האפשרי" (ציטוט מאתר מערך הסייבר הלאומי).

הארגון האמריקאי MITRE פרסם באמצעות Common Weakness Enumeration (CWE™) (המנוהלת ע"י MITRE) רשימה של 25 החולשות/פגיעויות (Vulnerabilities/Weaknesses) המסוכנות ביותר בשנת 2024.

חוקר האבטחה Alon Leviev מחברת SafeBreach הציג ושחרר (לטובת לימוד ותיקון) את כלי התקיפה Windows Downdate המאפשר לגורמים עוינים (זדוניים) לבצע מתקפות Downgrade. מתקפות מסוג זה גורמות לרכיבים שונים (DLLs, drivers, the NT kernel, Hypervisor ועוד) של מערכות ההפעלה Windows 10, Window11 ו- Windows Server לחזור לגרסאות ישנות (קודמות) הכוללות פגיעויות (Vulnerabilities) שתוקנו ע"י מיקרוסופט בגרסאות חדשות יותר,

מיקרוסופט (Microsoft) מדווחת ומזהירה מפני חולשה/פגיעות (Vulnerability) המסווגת Zero-day (פעילה וללא תיקון) ומשפיעה על Microsoft Office 2016, Microsoft Office LTSC 2021, Microsoft Office 2019 ו- Microsoft 365 Apps for Enterprise. המידע ששחררה מיקרוסופט כוללת המלצות לפעולות שעשויות לצמצם את האפשרות להיפגע מניצול הפגיעות ע"י גורמים עוינים.

פגיעות (Vulnerability) קריטית (Critical) התגלתה בגרסאות 5x ומעלה של שפת הסקריפטים PHP. מפתחי ה- PHP project שחררו עדכון המתקן את הבעיה. מידע נוסף זמין במקור הידיעה. (המקור- Bleeping Computer )

גורמים עויינים תוקפים ומנצלים (Exploit) פגיעות (Vulnerability) חמורה במערכות מסוג Remote Access VPN של חברת Check Point (צ'ק פוינט). מידע עדכני ותיקון (Fix) שוחררו ע"י החברה. מידע נוסף זמין במקור הידיעה. (המקור- Bleeping Computer / Bleeping Computer ).

גרסה חדשה (עדכון אבטחה) של כלי העזר החינמי PuTTY זמינה להורדה. הגרסה החדשה (0.81) מתקנת פרצת אבטחה/פגיעות קריטית (Critical Vulnerability) שהתגלתה בגרסאות קודמות. מידע נוסף זמין במקור הידיעה. (המקור- PuTTY )

פרצת אבטחה/פגיעות (Vulnerability) שהתגלתה בכ- 92,000 התקני Network Attached Storage / NAS מתוצרת D-LInk שהתמיכה בהם הסתיימה (End-of-Life) מנוצלת ע"י גורמים זדוניים (האקרים) התוקפים את התקני ה- NAS. מידע נוסף זמין במקור הידיעה. (המקור- Bleeping Computer )

חברת QNAP המייצרת התקני אחסון מסוג NAS (בעיקר) מדווחת על 3 חולשות פגיעויות במערכות ההפעלה של חלק מהדגמים של התקני ה- NAS, עדכונים/תיקונים לפגיעויות המוגדרות קריטיות זמינים ! שים לב ! החולשות/הפגיעויות שהתגלו עלולות לאפשר לתוקפים לעקוף את מנגנון האימות (Authentication bypass) ולגשת להתקנים. מידע נוסף זמין במקור הידיעה. (המקור- Bleeping Computer )

חברת Hewlett Packard / HP מדווחת על פגיעויות/חולשות (Vulnerabilities) מסוג Potential Buffer Overflow, Potential Remote Code Execution שהתגלו בחלק מדגמי מדפסות הלייזר שמתוצרת החברה. מידע נוסף זמין במקור הידיעה. (המקור- HP / HP / HP )

יצרנית מצלמות האבטחה Wyze מאשרת כי אירוע שהתרחש בשבוע שעבר גרם לבעיית אבטחה שאפשרה לבעלים של כ- 13,000 מצלמות אבטחה (וידאו) ביתיות לראות צילומים (וידאו) של מצלמות שאינם שלהם. מידע נוסף זמין במקור הידיעה. (המקור- The Verge )

יצרנית תוכנות/פלטפורמות הוירטואליזציה VMware מאשרת כי פרצה/חולשה (vulnerability) שתוקנה (Patched) באוקטובר 2023 מנוצלת (Exploited) באופן פעיל ע"י תוקפים עוינים וזדוניים. מידע נוסף זמין במקור הידיעה. (המקור- Bleeping Computer )

עדכוני אבטחה ששחררה Citrix עבור NetScaler ADC ו- NetScaler Gateway זמינים להורדה. עדכונים אלו שוחררו על מנת לתקן פגיעויות (Vulnerabilities) שהתגלו במוצרים הנ"ל. מידע נוסף זמין במקור הידיעה. (המקור- CISA ) ; פרטים נוספים זמינים ב- Citrix