Apple iOS и iPadOS 16.1.1
Apple выпустила iOS и iPadOS 16.1.1, которые производитель iPhone рекомендует применять всем пользователям. Патч исправляет две уязвимости в системе безопасности, и, учитывая скорость выпуска, можно предположить, что они довольно серьезны.
Согласно странице поддержки Apple, две уязвимости в программной библиотеке libxml2, отслеживаемые как CVE-2022-40303 и CVE-2022-40304, могут позволить злоумышленнику удаленно выполнять код. Об обеих проблемах сообщили исследователи безопасности, работающие в Google Project Zero.
Для пользователей Mac недостатки были устранены в macOS Ventura 13.0.1 .
Хорошей новостью является то, что ни одна из уязвимостей не использовалась злоумышленниками, но все же рекомендуется установить обновление как можно скорее.
Microsoft Windows
Ноябрьский патч Microsoft был еще одним крупным выпуском, в котором производитель Windows исправил 68 уязвимостей, четыре из которых были ошибками нулевого дня.
Первая из них, отслеживаемая как CVE-2022-41073, представляет собой уязвимость повышения привилегий диспетчера очереди печати Windows, которая может позволить киберпреступнику получить системные привилегии.
CVE-2022-41125 — это проблема с изоляцией ключа Windows Cryptographic Next Generation, которая может помочь злоумышленнику получить контроль над системой. CVE-2022-41128 — уязвимость языка сценариев Windows, которая может привести к удаленному выполнению кода. Наконец, CVE-2022-41091 — уязвимость в функции безопасности Microsoft Mark of the Web.
Google Android
Много крупных обновлений для пользователей устройств Android от Google поступило в ноябре, когда Google выпустила исправления для множества уязвимостей, некоторые из которых являются серьезными. В верхней части списка находится дыра в компоненте Framework, которая может привести к локальному повышению привилегий, говорится в сообщении Google по безопасности.
Патчи, выпущенные в ноябре, включают два системных обновления Google Play для решения проблем, влияющих на компоненты Media Framework (CVE-2022-2209) и Wi-Fi (CVE-2022-20463). Google также устранил пять проблем, затрагивающих его устройства Pixel.
Обновления Android начали распространяться на устройства Samsung, включая складные устройства Galaxy третьего и четвертого поколения. Вы можете проверить наличие обновлений в настройках.
Google Chrome
Самый популярный в мире браузер по-прежнему остается главной целью злоумышленников: в этом месяце Google исправила восьмую уязвимость нулевого дня в этом году.
Уязвимость, отслеживаемая как CVE-2022-4135 , представляет собой переполнение буфера динамической памяти в графическом процессоре, о котором сообщил Клемент Лесинь, исследователь из собственной группы анализа угроз Google. Google заявил , что «знает, что эксплойт для CVE-2022-4135 существует в дикой природе».
Ранее Google выпустила обновление для исправления 10 уязвимостей Chrome, шесть из которых имеют высокую степень серьезности. К ним относятся четыре ошибки использования после освобождения: CVE-2022-3885, CVE-2022-3886, CVE-2022-3887 и CVE-2022-3888. Между тем, CVE-2022-3889 — это проблема «путаницы типов» в V8, а CVE-2022-3890 — переполнение буфера кучи в Crashpad.
Mozilla Firefox
Ноябрь также был важным месяцем для конкурента Google Chrome Firefox. Mozilla выпустила Firefox 107, исправляющий 19 уязвимостей безопасности, восемь из которых помечены как имеющие большое значение.
Одним из наиболее важных исправлений является CVE-2022-45404 , способ обхода полноэкранных уведомлений, который может позволить злоумышленнику развернуть окно в полноэкранном режиме, и пользователь не увидит приглашение с уведомлением. Это может привести к спуфинговым атакам.
Между тем, несколько ошибок использования могут привести к эксплойтному сбою, а одна уязвимость может быть использована для запуска произвольного кода.
