Apple току-що коригира 37 бъга в сигурността на iPhone — Актуализирайте iOS възможно най-скоро

Юли беше месец на важни актуализации, включително корекции за вече експлоатирани уязвимости в продуктите на Microsoft и Google. Този месец видяхме и първата актуализация на Apple iOS осем седмицикоригирайки десетки пропуски в сигурността на iPhone и iPad.

Уязвимостите в сигурността продължават да засягат и корпоративни продукти, като през юли бяха издадени корекции за софтуера на SAP, Cisco и Oracle. Ето какво трябва да знаете за уязвимостите, коригирани през юли.

Apple iOS 15.6

Apple пусна iOS и iPadOS 15.6, за да коригира 37 пропуска в сигурността, включително проблем във файловата система на Apple (APFS) се проследява като CVE-2022-32832. Ако бъде използвана, уязвимостта може да позволи на приложение да изпълни код с привилегии на ядрото, според Apple страница за поддръжкадавайки му дълбок достъп до вашето устройство.

Други корекции на iOS 15.6 коригират уязвимости в ядрото и двигателя на браузъра WebKit, както и пропуски в IOMobileFrameBuffer, Audio, iCloud Photo Library, ImageIO, Apple Neural Engine и GPU драйвери.

Apple не знае нито един от коригираните пропуски да се използва при атаки, но някои от уязвимостите са доста сериозни – особено тези, които засягат ядрото в сърцето на операционната система. Също така е възможно уязвимостите да бъдат свързани заедно в атаки, така че не забравяйте да актуализирате възможно най-скоро.

Пачовете за iOS 15.6 бяха пуснати заедно watchOS 8.7, tvOS 15.6, macOS Monterey 12.5, macOS Big Sur 11.6.8и macOS Catalina 10.15.7 2022-005.

Google Chrome

Google освободен спешна корекция за своя браузър Chrome през юли, коригираща четири проблема, включително пропуск от нулевия ден, който вече е използван. Проследено като CVE-2022-2294 и докладвани от изследователите на Avast Threat Intelligence, уязвимостта на повреда на паметта в WebRTC беше злоупотребено, за да се постигне изпълнение на shellcode в процеса на изобразяване на Chrome.

Пропускът е използван при целенасочени атаки срещу потребители на Avast в Близкия изток, включително журналисти в Ливан, за доставяне на шпионски софтуер, наречен Дяволски език.

Въз основа на зловреден софтуер и тактики, използвани за извършване на атаката, Avast атрибути използването на Chrome zero-day до Candirбазирана в Израел компания, която продава шпионски софтуер на правителства.

Корекцията на Microsoft във вторник

Юлският коректив на Microsoft във вторник е голям, като коригира 84 проблема със сигурността включително недостатък, който вече се използва в реалния свят атаки. Уязвимостта, CVE-2022-22047, е локален недостатък за ескалация на привилегии в Windows Client/Server Runtime Subsystem (CSRSS) сървър и клиентски Windows платформи, включително най-новите версии на Windows 11 и Windows Server 2022. Нападател, който може успешно да използва уязвимостта, може да получи системни привилегии, според Microsoft.

От 84-те проблема, коригирани в юлския коректив на Microsoft във вторник, 52 бяха недостатъци при ескалация на привилегии, четири бяха уязвимости при заобикаляне на защитните функции и 12 бяха проблеми с дистанционно изпълнение на код.

Пачовете за сигурност на Microsoft понякога причиняват други проблеми и юлската актуализация не беше по-различна: След пускането някои потребители установиха, че приложенията за изпълнение на MS Access не се отварят. За щастие, фирмата пуска a поправя.

Бюлетин за сигурността на Android през юли

Google пусна юли актуализации за неговата операционна система Android, включително корекция за критична уязвимост на сигурността в системния компонент, която може да доведе до отдалечено изпълнение на код без необходими допълнителни привилегии.

Google също коригира сериозни проблеми в ядрото, което може да доведе до разкриване на информация, и рамката, което може да доведе до местна ескалация на привилегиите. Междувременно, специфични за доставчика пачове от MediaTek, Qualcomm и Unisoc са налични, ако вашето устройство използва тези чипове. Устройствата на Samsung започват да получавам юлската корекция и Google също освободен актуализации за своята гама Pixel.

SAP

Производителят на софтуер SAP издаде 27 нови и актуализирани бележки за сигурност като част от своите Юлски ден на корекцията за сигурност, коригирайки множество уязвимости с висока степен на сериозност. Проследено като CVE-2022-35228най-сериозният проблем е пропуск в разкриването на информация в централната конзола за управление на платформата Business Objects на доставчика.

Уязвимостта позволява на неупълномощен нападател да получи информация за токени по мрежата, според фирмата за сигурност Онапсис. „За щастие атака като тази би изисквала легитимен потребител да получи достъп до приложението“, добавя фирмата. Въпреки това все още е важно да закърпите възможно най-скоро.

Оракул

Oracle има издаден 349 корекции в актуализацията на критичните корекции от юли 2022 г., включително корекции за 230 пропуска, които могат да бъдат използвани от разстояние.

Априлската корекция на Oracle включва 520 корекции на сигурносттанякои от които адресирани до CVE-2022-22965, т.е Spring4Shell, недостатък при отдалечено изпълнение на код в пролетната рамка. Юлската актуализация на Oracle продължава да се занимава с този проблем.

.

Leave a Comment