PI4VRZ de PI4VRZ * * * pi4vrz pi4vrz Goedemorgen OM,s Xyl,s en SWL,s Dit is het morse bulletin van 14-10-2023 Dit bulletin is samengesteld door Hans PD0MPP pi4vrz pi4vrz Microsoft repareert tijdens Patch Tuesday 103 bugs en waarschuwt voor ddos-bug. Microsoft heeft tijdens de maandelijkse Patch Tuesday 103 kwetsbaar- heden gerepareerd. Drie bugs werden actief misbruikt, zegt het bedrijf. Een van die zerodays zorgde voor een nieuwe recordgrootte aan ddos-aanvallen. Microsoft heeft KB5031354 voor Windows 11 en KB5031356 voor Windows 10 uitgebracht. Dat zijn de twee patches voor de maandelijkse Patch Tuesday-updateronde voor oktober. Volgens de patchnotes heeft Microsoft 103 kwetsbaarheden gerepareerd. Het bedrijf waarschuwt daarnaast voor twee kwetsbaarheden die bij andere fabrikanten en ontwikkelaars spelen, maar die ook Microsoft- en Windows-systemen kunnen treffen. Een daarvan is CVE-2023-5346, een typeconfusion in de V8-JavaScript-engine van Chromium die ook voorkomt in Edge dat op Chromium is gebaseerd. pi4vrz pi4vrz De andere kwetsbaarheid is CVE-2023-44487. Dat is een kwetsbaarheid in het HTTP/2-protocol dat in veel software is ingebouwd. Die kwets- baarheid bleek eerder deze week misbruikt te worden om gigantische ddos-aanvallen op te zetten; Google maakte deze dinsdag bekend de grootste ddos-aanval ooit te hebben afgeslagen. Die vond plaats door uitbuiting van die bug. pi4vrz pi4vrz Dat was een van de drie zerodays die Microsoft nu opmerkt en die ook Windows-systemen kan treffen. Verder heeft Microsoft een bug in Skype for Business gerepareerd. CVE-2023-41763 is een privilege escalation waarmee aanvallers informatie konden achterhalen die niet voor hen bedoeld was. Een tweede bug is CVE-2023-36563, waarmee eveneens informatie kon worden achterhaald. Die bug zit in WordPad, waarbij het mogelijk was NTLM-hashes te stelen. pi4vrz pi4vrz Van de 103 bugs tijdens de Patch Tuesday-fixes maakten 45 het mogelijk op afstand code uit te voeren. In 26 gevallen ging het om privilege escalations en in nog eens 17 gevallen ging het om denial-of-serviceaanvallen. Bron : Tweakers.net, Nieuwscoordinator : Tijs Hofmans pi4vrz pi4vrz + + + PI4VRZ de PI4VRZ %