Користувачі Apple повинні оновити iOS зараз, щоб виправити серйозні недоліки
Плюс: Microsoft виправила кілька помилок нульового дня, Google виправила Chrome та Android, Mozilla усунула повноекранну вразливість у Firefox та багато іншого.
Лютий був багатим на оновлення безпеки: такі компанії, як Apple, Microsoft та Google випустили патчі для усунення серйозних вразливостей. Тим часом, ряд корпоративних помилок було усунуто такими компаніями, як VMware, SAP та Citrix.
Серед вразливостей, виправлених протягом місяця, є кілька таких, що використовувалися в реальних атаках, тому варто перевірити, чи ваше програмне забезпечення актуальне.
Ось все, що вам потрібно знати про оновлення безпеки, випущені цього місяця.
Apple iOS та iPadOS 16.3.1
Всього через кілька тижнів після виходу iOS 16.3 компанія Apple випустила iOS та iPadOS 16.3.1 — екстрене виправлення вразливостей, яке включало в себе ваду в движку браузера WebKit, що вже використовувався в атаках.
Відстежувана як CVE-2023-23529, вже експлуатована помилка може призвести до довільного виконання коду, попередила Apple на своїй сторінці підтримки. «Apple відомо про повідомлення про те, що ця проблема могла активно використовуватися», — додали в компанії. Інший недолік, виправлений в iOS 16.3.1, стосується ядра, що лежить в основі операційної системи iPhone. Баг, який відстежується як CVE-2023-23514, може дозволити зловмиснику виконати довільний код з привілеями ядра.
Пізніше в цьому ж місяці Apple задокументувала ще одну уразливість, виправлену в iOS 16.3.1, CVE-2023-23524. Як повідомив Девід Бенджамін (David Benjamin), інженер-програміст з Google, ця вразливість може уможливити атаку на відмову в обслуговуванні через зловмисно створений сертифікат.
Протягом місяця Apple також випустила macOS Ventura 13.2.1, tvOS 16.3.2 і watchOS 9.3.1.
У середині лютого Microsoft попередила, що її «Вівторок патчів» виправив 76 вразливостей в системі безпеки, три з яких вже використовуються в атаках. Сім з цих вразливостей позначені як критичні, згідно з керівництвом по оновленню від Microsoft.
Одна з найсерйозніших вразливостей у графічному компоненті Windows, що відслідковується як CVE-2023-21823, може дозволити зловмиснику отримати системні привілеї.
Інша вже використана уразливість, CVE-2023-21715, — це проблема обходу функцій в Microsoft Publisher, а CVE-2023-23376 — уразливість через підвищення привілеїв в драйвері загальної системи файлів журналів Windows.
Це дуже багато уразливостей нульового дня, виправлених в одному випуску, тому вважайте це закликом оновити свої системи на базі Microsoft якнайшвидше.
Google Android
Лютневе оновлення безпеки Android, яке виправляє численні вразливості на пристроях, що працюють під управлінням програмного забезпечення для смартфонів від технологічного гіганта, вже доступне. Найсерйознішою з цих проблем є вразливість у компоненті Framework, яка може призвести до локальної ескалації привілеїв без необхідності отримання додаткових привілеїв, зазначає Google у своєму повідомленні.
Серед проблем, виправлених у Framework, вісім оцінюються як такі, що мають високий рівень впливу. Тим часом, Google виправив шість помилок в ядрі, а також недоліки в компонентах System, MediaTek і Unisoc.
Найпопулярніше
Усі серії «Чорного дзеркала»: від найгіршої до найкращої
Аміт Катвала
41 найкращий фільм на Netflix цього тижня
Метт Кеймен
Як «Індіана Джонс і дзиґа долі» омолодили Гаррісона Форда
Вілл Бедінгфілд
11 найкращих фільмів на Amazon Prime прямо зараз
Протягом місяця Google виправив численні уразливості, пов’язані з підвищенням привілеїв, а також уразливості, пов’язані з розголошенням інформації та відмовою в обслуговуванні. Компанія також випустила патч для трьох специфічних для Pixel проблем безпеки. Лютневий патч для Android вже доступний для пристроїв Google Pixel, в той час як Samsung швидко випустила оновлення для користувачів серії Galaxy Note 20.
Google Chrome
Компанія Google випустила оновлення для свого браузера Chrome 110, в якому виправлено 15 вразливостей безпеки, три з яких оцінюються як такі, що мають високий рівень впливу. Перша з них, що відслідковується як CVE-2023-0696, є помилкою плутанини типів у движку JavaScript V8, пише Google у своєму повідомленні про безпеку.
Тим часом, CVE-2023-0697 — це помилка, яка дозволяє неналежну реалізацію в повноекранному режимі, а CVE-2023-0698 — це помилка читання за межами дозволеного в WebRTC. Чотири уразливості середньої важкості включають використання після free в GPU, переповнення буфера динамічної пам’яті в WebUI та уразливість через змішання типів в Data Transfer. Ще дві уразливості оцінено як такі, що мають низький вплив.
У лютневому патчі для Chrome немає «нульових днів», але все одно варто оновити програмне забезпечення Google якнайшвидше.
Конкурент Mozilla, що піклується про конфіденційність, Firefox, отримав у лютому патч, який виправляє 10 вразливостей, які оцінені як високосерйозні. CVE-2023-25730 — це перехоплення екрану через повноекранний режим браузера. «Фоновий скрипт, який викликає requestFullscreen, а потім блокує основний потік, може змусити браузер працювати в повноекранному режимі на невизначений час, що призведе до потенційної плутанини користувачів або спуфінг-атак», — попередили в Mozilla.
Тим часом, розробники Mozilla виправили кілька помилок, пов’язаних з безпекою пам’яті в Firefox 110. «Деякі з цих помилок свідчили про пошкодження пам’яті, і ми припускаємо, що при достатніх зусиллях деякі з них могли бути використані для запуску довільного коду», — написали в Mozilla.
Виробник корпоративного програмного забезпечення VMWare випустив патч для ін’єкційної вразливості, що впливає на VMware Carbon Black App Control. Вразливість під номером CVE-2023-20858 була оцінена як критична з максимальною базовою оцінкою CVSSv3 9,1 бала. «Зловмисник з привілейованим доступом до консолі адміністрування App Control може використовувати спеціально створений вхідний код, що дозволяє отримати доступ до операційної системи базового сервера», — зазначили в VMWare.
Випущено черговий патч VMware для усунення уразливості XML External Entity, що впливає на VMware vRealize Orchestrator і може призвести до підвищення привілеїв. Вразливість, що відстежується як CVE-2023-20855, оцінюється як важлива з максимальною базовою оцінкою CVSSv3 8,8 балів.
Лютий був насиченим місяцем для компанії Citrix, яка випустила патчі для усунення декількох серйозних вразливостей в системі безпеки. Серед виправлень цього місяця — CVE-2023-24483, що впливає на Citrix Virtual Apps and Desktops Windows VDA. «Виявлено вразливість, яка може призвести до того, що локальний користувач підвищить свій рівень привілеїв до NT AUTHORITY\SYSTEM в Citrix Virtual Apps and Desktops Windows VDA», — попереджає Citrix у своєму повідомленні.
Тим часом, Citrix виявила дві уразливості, які разом можуть дозволити стандартному користувачеві Windows виконувати операції від імені System на комп’ютері з Citrix Workspace, що відслідковуються як CVE-2023-24484 та CVE-2023-24485.
Інша уразливість в програмі Citrix Workspace для Linux, CVE-2023-24486, може дозволити зловмисному локальному користувачеві отримати доступ до сеансу Citrix Virtual Apps and Desktops іншого користувача.
Якщо ви користуєтеся Citrix, обов’язково встановіть патчі на свої системи, що зазнали впливу цієї загрози.
SAP випустила 21 нове повідомлення про безпеку в рамках свого лютневого Дня патчів, в тому числі п’ять з них мають високий пріоритет. Найсерйознішою з нещодавно виправлених вразливостей, що відслідковується як CVE-2023-24523, є вразливість підвищення привілеїв в SAP Start Service з оцінкою CVSS 8.8.
Скориставшись цією проблемою, аутентифікований користувач, який не є адміністратором і має локальний доступ до порту сервера, призначеного для SAP Host Agent Service, може надіслати спеціально створений запит до веб-служби з довільною командою операційної системи, попереджає компанія Onapsis, що займається питаннями безпеки. Ця команда виконується з правами адміністратора і може вплинути на конфіденційність, цілісність і доступність системи.
Дві інші високопріоритетні записки стосуються клієнтів SAP BusinessObjects, тому, якщо ви використовуєте системи цієї компанії, встановіть патчі якомога швидше.
