alerts.gdaverio.it

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22028 Data: 09 Marzo 2022 Titolo: Microsoft Security Update Marzo 2022 ****************************************************************** :: Descrizione del problema Microsoft ha rilasciato il security update mensile per marzo 2022, questa versione risolve 71 vulnerabilita', tra cui TRE zero-day. Inoltre, 8 vulnerabilita' sono state classificate come "Critical". Maggiori dettagli sono disponibili alla sezione "Riferimenti". :: Software interessato .NET Visual Studio Azure Site Recovery Microsoft Defender for Endpoint Microsoft Defender for IoT Microsoft Edge (Chromium-based) Microsoft Exchange Server Microsoft Intune Microsoft Office Visio Microsoft Office Word Microsoft Windows ALPC Microsoft Windows Codecs Library Paint 3D Windows Hyper-V Skype Extension for Chrome Tablet Windo

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22027 Data: 08 Marzo 2022 Titolo: Aggiornamenti di sicurezza per prodotti Mozilla ****************************************************************** :: Descrizione Mozilla ha rilasciato nuove versioni di alcuni prodotti, nelle quali vengono risolte alcune vulnerabilita' critiche sfruttabili per condurre attacchi. Le vulnerabilita' risultano ampiamente sfruttate, quindi si consiglia l'aggiornamento prima possibile. Maggiori informazioni sono disponibili nelle segnalazioni ufficiali alla sezione "Riferimenti". :: Software interessato Firefox, versioni precedenti alla 97.0.2 Firefox ESR, versioni precedenti alla 91.6.1 Firefox for Android, versioni precedenti alla 97.3 Focus, versioni precedenti alla 97.3 Thunderbird, versioni precedenti alla 91.6.2 :: Impatto Esecuzione remota di cod

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22026 Data: 2 Marzo 2022 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato una nuova versione del browser Chrome con la quale risolve vulnerabilita' che potrebbero essere sfruttate da un attaccante remoto per innescare condizioni di Denial of Service, eseguire codice arbitrario, rivelare informazioni sensibili ed oltrepassare restrizioni di sicurezza su sistema target. Per una descrizione completa delle vulnerabilita' consultare i link alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 99.0.4844.51 per Windows, Mac e Linux :: Impatto Security Restriction Bypass Remote Code Execution Information Disclosure Denial of Service :: Soluzioni Agg

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22025 Data: 28 Febbraio 2022 Titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciamo nuove versioni della propria piattaforma con le quali risolve alcune vulnerabilita'. Il produttore consiglia di aggiornare immediatamente tutte le installazioni. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato versioni precedenti alle 14.8.2, 14.7.4, e 14.6.5 di: GitLab Community Edition (CE) GitLab Enterprise Edition (EE) GitLab Omnibus versioni precedenti alla 14.8 :: Impatto Denial of Service (DoS) Bypass delle restrizioni di sicurezza (SRB) Rivelazione di informazioni sensibili (ID) Esecuzione remota di codice arbitrario (RCE) :: Soluzioni

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22024 data: 25 febbraio 2022 titolo: Aggiornamento di sicurezza per Cyrus SASL ****************************************************************** :: Descrizione del problema Il team Cyrus ha rilasciato una nuova versione della libreria Cyrus-SASL, con la quale risolve due vulnerabilita' lib/common.c CVE-2019-19906 Fix off by one error plugins/sql.c CVE-2022-24407 Escape password for SQL insert/update commands CVSS (Max): 8.8 - 9.1 Questa seconda vulnerabilita' e' relativa ad un difetto nel plugin SQL fornito con Cyrus SASL. Non viene eseguito correttamente l'escape dell'input SQL (insufficiente sanificazione della password), cio' consente ad un aggressore remoto non autenticato di eseguire comandi SQL arbitrari (SQL Injection). Maggiori infor

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22023 data: 21 febbraio 2022 titolo: Aggiornamento di sicurezza per PHP ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni del linguaggio di scripting PHP, con le quali vengono risolti alcuni bug ed una vulnerabilita' di sicurezza relativa alla funzione php_filter_float(). Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato PHP versioni precedenti alla 8.1.3 PHP versioni precedenti alla 8.0.16 PHP versioni precedenti alla 7.4.28 :: Impatto Denial of Service (DoS) Rivelazione di informazioni (ID) :: Soluzioni Aggiornare il software alle ultime versioni 8.1.3 https://www.php.net/downloads.php#v8.1.3 8.0.16 https:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22022 Data: 17 Febbraio 2022 Titolo: Aggiornamento di sicurezza per Drupal ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versione del CMS Drupal che risolvono due bug di sicurezza: Drupal core - Moderately critical - Improper input validation - SA-CORE-2022-003 Drupal core - Moderately critical - Information disclosure - SA-CORE-2022-004 La prima vulnerabilita' si trova nel form API e alcune form possono essere utilizzate per iniettare impostazioni non autorizzate o sovrascrivere dati. La seconda vulnerabilita' riguarda il modulo Quick Edit, abilitato di default, che potrebbe permettere l'accesso a dati a non autorizzati. Maggiori informazioni sono disponibili nella segnalazione ufficiale alla sezione "Riferimenti".

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22021 data: 17 febbraio 2022 titolo: Aggiornamento di sicurezza per Mozilla Thunderbird ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato una nuova versione del client di posta Thunderbird con le quali risolve una vulnerabilita' di livello critico. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Thunderbird versioni precedenti alla 91.6.1 :: Impatto Esecuzione remota di codice arbitrario (RCE) Denial of Service (DoS) :: Soluzioni Aggiornare Thunderbird all'ultima versione Thunderbird 91.6.1 https://support.mozilla.org/it/kb/aggiornamento-di-thunderbird https://www.mozilla.org/it/thunderbird/ https://www.thunderbird.net/en-US/thunderbird/all/ :: Riferimenti Mozil

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-22020 data: 15 febbraio 2022 titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato nuove versioni del browser Chrome con le quali risolve 11 vulnerabilita' di sicurezza, delle quali una di livello alto. L'accesso alle informazioni relative ai bug sara' limitato, fino a quando la maggior parte dei sistemi non saranno stati aggiornati. Note: la CVE-2022-0609 risulta essere sfruttata attivamente in rete. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 98.0.4758.102 per Windows, Mac e Linux :: Impatto Esecuzione remota di codice arbitrario (RCE) Denial of Service (DoS) :: Soluzioni Aggi

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22019 Data: 11 Febbraio 2022 Titolo: Vulnerabilita' nei prodotti Apple (APPLE-SA-2022-02-10) ****************************************************************** :: Descrizione del problema E' stata identificata una vulnerabilita' nei prodotti Apple che potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario su un sistema che ne sia affetto. La vulnerabilita' viene innescata da un errore di tipo use-after-free durante l'elaborazione del contenuto HTML in WebKit. L'attaccante potrebbe sfruttare questa vulnerabilita' attirando gli utenti a visitare una pagina Web appositamente predisposta. Una volta aperta la pagina Web malevola, l'attaccante puo' eseguire da remoto codice arbitrario sul sistema target. La vulnerabilita' e' attualmente in corso di sfruttamento. M

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22018 Data: 09 Febbraio 2022 Titolo: Adobe Security Bulletin - Febbraio 2022 ****************************************************************** :: Descrizione del problema Adobe ha rilasciato i seguenti aggiornamenti di sicurezza: APSB22-06 : Security update available for Adobe Premiere Rush APSB22-07 : Security update available for Adobe Illustrator APSB22-08 : Security update available for Adobe Photoshop APSB22-09 : Security update available for Adobe After Effects APSB22-11 : Security update available for Adobe Creative Cloud Desktop Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Adobe Premiere Rush 2.0 e versioni precedenti Illustrator 2022 26.0.2 e versioni precedenti Illustrator 2021 25.4.3 e versioni precedenti Photoshop 2021 22.5.4 e versioni precedenti Photo

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-22017 Data: 09 Febbraio 2022 Titolo: Aggiornamenti di sicurezza per prodotti Mozilla ****************************************************************** :: Descrizione Mozilla ha rilasciato nuove versioni del browser Firefox, con le quali vengono risolte alcune vulnerabilita' potenzialmente sfruttabili per condurre attacchi. Maggiori informazioni sono disponibili nelle segnalazioni ufficiali alla sezione "Riferimenti". :: Software interessato Firefox versioni precedenti alla 97 Firefox ESR versioni precedenti alla 91.6 :: Impatto Esecuzione remota di codice arbitrario Innalzamento dei privilegi Elusione delle restrizioni di sicurezza Rivelazione di informazioni riservate :: Soluzione Aggiornare i software all'ultima versione https://www.mozilla.org/it/firefox/new/ https://www.mozilla.o