Многие патчи исправляют уязвимости нулевого дня, которые уже используются в атаках, поэтому важно, чтобы они применялись как можно скорее. Вот краткий обзор всех патчей, выпущенных в декабре.
В декабре Apple выпустила крупное обновление для своей операционной системы iOS 16: iOS 16.2. Обновление поставляется с функциями, включая сквозное шифрование в iCloud, а также устраняет 35 уязвимостей в системе безопасности.
Известно, что ни одна из проблем, исправленных в iOS 16.2, не использовалась в атаках, однако многие из них довольно серьезны. Недостатков шесть в ядре и девять в движке браузера Apple Safari, WebKit, которые могут позволить злоумышленнику выполнить код.
Apple также выпустила iOS 15.7.2 для пользователей старых iPhone, на которых не работает iOS 16, исправив уязвимость, уже используемую в атаках. Согласно странице поддержки Apple, уязвимость WebKit, отслеживаемая как CVE-2022-42856, может позволить злоумышленнику выполнить код. В конце ноября Apple исправила тот же недостаток WebKit в iOS 16.1.2.
С момента запуска iOS 16 в сентябре Apple предлагает обновления безопасности тем, кто не хочет переходить на новую операционную систему. Но iOS 15.7.2 предназначена только для старых iPhone, поэтому, если у тебя есть iPhone 8 или выше, теперь тебе нужно обновиться до iOS 16, чтобы оставаться в безопасности. Производитель iPhone также выпустил macOS Ventura 13.1, watchOS 9.2, tvOS 16.2, macOS Big Sur 11.7.2, macOS Monterey 12.6.2 и Safari 16.2.
Декабрь был месяцем здоровенных исправлений для операционной системы Android от Google, в течение месяца были исправлены десятки уязвимостей безопасности. В бюллетене Google говорится, что наиболее серьезной проблемой, отслеживаемой как CVE-2022-20411, является критическая уязвимость в системном компоненте, которая может привести к удаленному выполнению кода через Bluetooth без дополнительных привилегий выполнения.
Google также исправила две критические уязвимости в компоненте Android Framework, CVE-2022-20472 и CVE-2022-20473. Между тем, в декабре Google исправила 151 ошибку, связанную с Pixel.
Google выпустил экстренное обновление для своего браузера Chrome, чтобы исправить девятую уязвимость нулевого дня в этом году. Отслеживаемая как CVE-2022-4262, серьезная проблема путаницы типов в движке Chrome V8 JavaScript может позволить удаленному злоумышленнику использовать повреждение кучи через созданную HTML-страницу.
Экстренное обновление появилось всего через несколько дней после того, как Google выпустила Chrome 108, исправив 28 недостатков безопасности. Среди исправлений — CVE-2022-4174 — недостаток путаницы типов в V8 — и несколько ошибок использования после освобождения. По данным Google, ни одна из этих уязвимостей не использовалась в атаках. Но учитывая, что последняя ошибка уже находится в руках злоумышленников, рекомендуется как можно скорее обновить Chrome.
Исправление Microsoft было еще одним важным событием, в котором было исправлено 49 уязвимостей в системе безопасности, в том числе уязвимость, используемая в атаках. Отслеживаемая как CVE-2022-44698, проблема представляет собой уязвимость обхода функции безопасности Windows SmartScreen, которая может привести к потере целостности и доступности.
Microsoft заявляет:
Еще одним серьезным недостатком является уязвимость повышения привилегий в графическом ядре DirectX, отслеживаемая как CVE-2022-44710. Успешная атака может позволить противнику получить системные привилегии.
Шесть проблем, исправленных в декабре, относятся к уязвимостям удаленного выполнения кода (RCE), помеченным как критические, поэтому их стоит обновить сразу.
Однако стоит также отметить, что последнее обновление Patch Tuesday вызывает проблемы для некоторых Windows 10. Хотя есть обходной путь, Microsoft пообещала дополнительное обновление для решения этой проблемы.
Производитель программного обеспечения Citrix выпустил экстренное исправление для уязвимости, которая, по его словам, используется в атаках. Отслеживаемая как CVE-2022-27518 проблема в Citrix Gateway и Citrix ADC может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на устройстве, говорится в бюллетене Citrix. Фирма настоятельно призывает пострадавших клиентов Citrix ADC и Citrix Gateway как можно скорее установить соответствующие обновленные версии.
Агентство национальной безопасности (АНБ) связало атаки с APT5, связанной с Китаем хакерской группой, также известной как Keyhole Panda или Manganese, которая нацелена на телекоммуникации, высокотехнологичное производство и технологии военного применения.
Гигант VMWare устранил уязвимость записи в контроллере USB 2.0 (EHCI) в VMware ESXi, Workstation и Fusion. Отслеживаемая как CVE-2022-31705 и имеющая базовую оценку CVSSv3 9,3, уязвимость была использована исследователями безопасности на хакерском мероприятии GeekPwn 2022.
Фирма также исправила уязвимость внедрения команд и обхода каталогов в своем продукте VMware vRealize Network Insight, отслеживаемую как CVE-2022-31702 и CVE-2022-31703. Успешно воспользовавшись первой уязвимостью, злоумышленник, имеющий сетевой доступ к vRNI REST API, может выполнять команды без аутентификации.
VMware заявила, что проблема находится в критическом диапазоне серьезности с максимальным базовым баллом CVSSv3 9,8. Вторая уязвимость имеет оценку CVSSv3 7,5 и может позволить злоумышленникам, имеющим сетевой доступ к vRNI REST API, считывать произвольные файлы с сервера.
Такие вот действия платформы направили для защиты пользователей и оптимизации своих сервисов. Как это повлияет на их работоспособность покажет время, а мы будем следить за обновлениями и обязательно тебе о них расскажем.
Apple iOS и iPadOS 16.2, iOS 15.7.2, iOS 16.1.2
В декабре Apple выпустила крупное обновление для своей операционной системы iOS 16: iOS 16.2. Обновление поставляется с функциями, включая сквозное шифрование в iCloud, а также устраняет 35 уязвимостей в системе безопасности.
Известно, что ни одна из проблем, исправленных в iOS 16.2, не использовалась в атаках, однако многие из них довольно серьезны. Недостатков шесть в ядре и девять в движке браузера Apple Safari, WebKit, которые могут позволить злоумышленнику выполнить код.
Apple также выпустила iOS 15.7.2 для пользователей старых iPhone, на которых не работает iOS 16, исправив уязвимость, уже используемую в атаках. Согласно странице поддержки Apple, уязвимость WebKit, отслеживаемая как CVE-2022-42856, может позволить злоумышленнику выполнить код. В конце ноября Apple исправила тот же недостаток WebKit в iOS 16.1.2.
С момента запуска iOS 16 в сентябре Apple предлагает обновления безопасности тем, кто не хочет переходить на новую операционную систему. Но iOS 15.7.2 предназначена только для старых iPhone, поэтому, если у тебя есть iPhone 8 или выше, теперь тебе нужно обновиться до iOS 16, чтобы оставаться в безопасности. Производитель iPhone также выпустил macOS Ventura 13.1, watchOS 9.2, tvOS 16.2, macOS Big Sur 11.7.2, macOS Monterey 12.6.2 и Safari 16.2.
Google Андроид
Декабрь был месяцем здоровенных исправлений для операционной системы Android от Google, в течение месяца были исправлены десятки уязвимостей безопасности. В бюллетене Google говорится, что наиболее серьезной проблемой, отслеживаемой как CVE-2022-20411, является критическая уязвимость в системном компоненте, которая может привести к удаленному выполнению кода через Bluetooth без дополнительных привилегий выполнения.
Google также исправила две критические уязвимости в компоненте Android Framework, CVE-2022-20472 и CVE-2022-20473. Между тем, в декабре Google исправила 151 ошибку, связанную с Pixel.
Google Chrome
Google выпустил экстренное обновление для своего браузера Chrome, чтобы исправить девятую уязвимость нулевого дня в этом году. Отслеживаемая как CVE-2022-4262, серьезная проблема путаницы типов в движке Chrome V8 JavaScript может позволить удаленному злоумышленнику использовать повреждение кучи через созданную HTML-страницу.
Экстренное обновление появилось всего через несколько дней после того, как Google выпустила Chrome 108, исправив 28 недостатков безопасности. Среди исправлений — CVE-2022-4174 — недостаток путаницы типов в V8 — и несколько ошибок использования после освобождения. По данным Google, ни одна из этих уязвимостей не использовалась в атаках. Но учитывая, что последняя ошибка уже находится в руках злоумышленников, рекомендуется как можно скорее обновить Chrome.
Microsoft
Исправление Microsoft было еще одним важным событием, в котором было исправлено 49 уязвимостей в системе безопасности, в том числе уязвимость, используемая в атаках. Отслеживаемая как CVE-2022-44698, проблема представляет собой уязвимость обхода функции безопасности Windows SmartScreen, которая может привести к потере целостности и доступности.
Microsoft заявляет:
Злоумышленник может создать вредоносный файл, который сможет обойти защиту Mark of the Web (MOTW), что приведет к ограниченной потере целостности и доступности функций безопасности, таких как защищенный просмотр в Microsoft Office, которые полагаются на теги MOTW.
Еще одним серьезным недостатком является уязвимость повышения привилегий в графическом ядре DirectX, отслеживаемая как CVE-2022-44710. Успешная атака может позволить противнику получить системные привилегии.
Советуем почитать —
США подали в суд на Google из-за антиконкурентной и незаконной монополии на рекламные технологии
Шесть проблем, исправленных в декабре, относятся к уязвимостям удаленного выполнения кода (RCE), помеченным как критические, поэтому их стоит обновить сразу.
Однако стоит также отметить, что последнее обновление Patch Tuesday вызывает проблемы для некоторых Windows 10. Хотя есть обходной путь, Microsoft пообещала дополнительное обновление для решения этой проблемы.
Citrix
Производитель программного обеспечения Citrix выпустил экстренное исправление для уязвимости, которая, по его словам, используется в атаках. Отслеживаемая как CVE-2022-27518 проблема в Citrix Gateway и Citrix ADC может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на устройстве, говорится в бюллетене Citrix. Фирма настоятельно призывает пострадавших клиентов Citrix ADC и Citrix Gateway как можно скорее установить соответствующие обновленные версии.
Агентство национальной безопасности (АНБ) связало атаки с APT5, связанной с Китаем хакерской группой, также известной как Keyhole Panda или Manganese, которая нацелена на телекоммуникации, высокотехнологичное производство и технологии военного применения.
VMWare
Гигант VMWare устранил уязвимость записи в контроллере USB 2.0 (EHCI) в VMware ESXi, Workstation и Fusion. Отслеживаемая как CVE-2022-31705 и имеющая базовую оценку CVSSv3 9,3, уязвимость была использована исследователями безопасности на хакерском мероприятии GeekPwn 2022.
Фирма также исправила уязвимость внедрения команд и обхода каталогов в своем продукте VMware vRealize Network Insight, отслеживаемую как CVE-2022-31702 и CVE-2022-31703. Успешно воспользовавшись первой уязвимостью, злоумышленник, имеющий сетевой доступ к vRNI REST API, может выполнять команды без аутентификации.
VMware заявила, что проблема находится в критическом диапазоне серьезности с максимальным базовым баллом CVSSv3 9,8. Вторая уязвимость имеет оценку CVSSv3 7,5 и может позволить злоумышленникам, имеющим сетевой доступ к vRNI REST API, считывать произвольные файлы с сервера.
Такие вот действия платформы направили для защиты пользователей и оптимизации своих сервисов. Как это повлияет на их работоспособность покажет время, а мы будем следить за обновлениями и обязательно тебе о них расскажем.