Вам потрібно оновитися до Apple iOS 16.4, щоб отримати більше, ніж емодзі гусака

Плюс: Microsoft Outlook та Android виправляють серйозні недоліки, Chrome та Firefox отримують виправлення та багато іншого.

У березні кілька великих технологічних компаній випустили важливі патчі безпеки, щоб виправити основні прогалини, які використовуються в реальних атаках. Березневий вівторок патчів від Microsoft був дуже важливим, а користувачам Google Android варто звернути увагу на останнє оновлення, особливо якщо вони користуються пристроями Samsung.

Apple також випустила нову серію патчів для виправлення проблем, які включають вразливість «нульового дня» в старих моделях iPhone. Ось що вам потрібно знати про всі патчі, випущені в березні.

Apple iOS та iPadOS 16.4

Оновлення для Apple iOS продовжують надходити дуже швидко: у березні виробник iPhone випустив iOS та iPadOS 16.4. Оновлення містить безліч нових функцій, а також 33 виправлення вразливостей безпеки iOS. Деякі з виправлених в iOS 16.4 помилок є досить серйозними, хоча жодна з них не була використана в атаках.

Серед помітних помилок — недоліки в WebKit, движку, на якому працює браузер Safari, і в ядрі, що лежить в основі операційної системи iPhone, як повідомляється на сторінці підтримки Apple.

Ці дві вразливості в ядрі, що відслідковуються як CVE-2023-27969 та CVE-2023-27933, можуть дозволити зловмиснику виконати код. Тим часом, Apple виправила проблему в пісочниці, що відстежується як CVE-2023-28178, яка могла дозволити додатку обійти налаштування конфіденційності.

Хоча виправлення в iOS 16.4 не були використані в атаках, Apple також випустила iOS 15.7.4 для старих iPhone, в якому виправлено 16 проблем, в тому числі вже використаний недолік. Відстежувана як CVE-2023-23529, помилка в WebKit могла призвести до довільного виконання коду, хоча й вимагала певної взаємодії з користувачем. Ця ж проблема була виправлена в iOS 16.3.1 в лютому.

Apple також випустила macOS Ventura 13.3, Safari 16.4, watchOS 9.4, tvOS 16.4, macOS Big Sur 11.7.5, macOS Monterey 12.6.4, macOS Monterey і macOS Ventura 13.3.

Березень став для Microsoft великим «вівторком патчів», коли софтверний гігант випустив виправлення для більш ніж 80 вразливостей, одна з яких вже використовується в атаках. З оцінкою CVSS 9.8, CVE-2023-23397 є критичною проблемою в Microsoft Outlook, яка, ймовірно, використовувалася в атаках кіберзлочинцями, пов’язаними з Росією. Microsoft також випустила скрипт виявлення, щоб допомогти користувачам виявити атаку.

Microsoft повідомила, що зловмисник, який успішно скористався цією вразливістю, може отримати доступ до хешу Net-NTLMv2 користувача, який потім може бути використаний в ретрансляційних атаках. «Зловмисник може використати цю вразливість, надіславши спеціально створений електронний лист, який автоматично спрацьовує, коли його отримує та обробляє клієнт Outlook», — зазначили в компанії, додавши, що це може призвести до експлуатації ще до того, як електронний лист буде переглянутий в панелі попереднього перегляду.

Найпопулярніше
Усі серії «Чорного дзеркала»: від найгіршої до найкращої
Аміт Катвала
41 найкращий фільм на Netflix цього тижня
Метт Кеймен
Як «Індіана Джонс і дзиґа долі» омолодили Гаррісона Форда
Вілл Бедінгфілд
11 найкращих фільмів на Amazon Prime прямо зараз

Компанія Mandiant, що належить Google і займається розвідкою загроз, пізніше заявила, що ця вразливість використовувалася протягом майже року для атак на компанії та об’єкти критичної інфраструктури.

Google Android

Березневий бюлетень безпеки Google Android містить виправлення для більш ніж 50 проблем безпеки. Найсерйозніша з них — критична уразливість у компоненті System, яка може призвести до віддаленого виконання коду без додаткових привілеїв на виконання. За словами представників Google, для експлуатації вразливості не потрібна взаємодія з користувачем.

Google також виправив вісім уразливостей у Framework, позначених як дуже серйозні, які можуть призвести до підвищення привілеїв без втручання користувача.

Тим часом, дослідники з Google Project Zero повідомили про 18 уразливостей нульового дня в модемах Exynos виробництва Samsung. Чотири найсерйозніші з них — CVE-2023-24033, CVE-2023-26496, CVE-2023-26497 та CVE-2023-26498 — дозволяють віддалене виконання коду з інтернету в базовий діапазон, пишуть дослідники у своєму блозі. «Тести, проведені Project Zero, підтверджують, що ці чотири вразливості дозволяють зловмиснику віддалено скомпрометувати телефон на рівні базового діапазону без взаємодії з користувачем, і вимагають від зловмисника лише знання номера телефону жертви», — пишуть вони.

Постраждали пристрої серій S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 і A04, а також Google Pixel 6 і Pixel 7.

Терміни виходу виправлень залежать від виробника, але всі пристрої Pixel отримали виправлення для всіх чотирьох серйозних уразливостей віддаленого виконання коду через мережу Інтернет до базової станції. Тим часом, користувачі з ураженими пристроями можуть захистити себе, вимкнувши дзвінки через Wi-Fi та Voice-over-LTE (VoLTE) у налаштуваннях своїх пристроїв, повідомляє Google.

Google Chrome

Компанія Google випустила версію 111 свого популярного браузера Chrome, в якій виправлено вісім уразливостей, сім з яких стосуються безпеки пам’яті з високим рівнем серйозності. Чотири уразливості з можливістю подальшого використання включають проблему високої серйозності, що відстежується як CVE-2023-1528 в Паролі, та CVE-2023-1529, уразливість доступу до пам’яті за межами дозволеного в WebHID.

Тим часом, CVE-2023-1530 — це помилка в PDF, про яку повідомляє Національний центр кібербезпеки Великої Британії, а CVE-2023-1531 — це уразливість в ANGLE, яка може бути використана після завершення терміну дії, а також CVE-2023-1531 — уразливість в ANGLE.

За інформацією Google, жодна з цих проблем не була використана в атаках, але, зважаючи на їхній вплив, має сенс оновити Chrome, коли це можливо.

Гігант корпоративного програмного забезпечення Cisco опублікував дворічний пакет безпеки для свого програмного забезпечення IOS та IOS XE, в якому виправлено 10 вразливостей. Шість з виправлених Cisco вразливостей мають високий рівень впливу, в тому числі CVE-2023-20080, помилка відмови в обслуговуванні, і CVE-2023-20065, помилка підвищення привілеїв.

На початку місяця компанія Cisco виправила кілька вразливостей у веб-інтерфейсі керування деяких IP-телефонів Cisco, які можуть дозволити неавторизованому віддаленому зловмиснику виконати довільний код або спричинити відмову в обслуговуванні. З оцінкою CVSS 9.8 найгіршою є CVE-2023-20078 — уразливість у веб-інтерфейсі керування мультиплатформних телефонів Cisco IP Phone 6800, 7800 та 8800 серій.