همین حالا گوشی و ویندوز خود را به‌روزرسانی کنید! معرفی مهم‌ترین به‌روزرسانی‌های ماه اکتبر

در این مقاله به جزئیات مهمترین به روزرسانی هایی که در ماه اکتبر عرضه شدند می‌پردازیم تا هیچ آپدیت مهمی را از دست ندهید. با ما در آی‌تی‌رسان همراه باشید.

انتشار به‌روزرسانی‌ها در ماه اکتبر به‌صورت منظم و سریع ادامه یافتند، و پچ‌هایی از قبیل iOS، Google Chrome، Android و البته مایکروسافت در Patch سه‌شنبه ماهانه‌اش در دسترس قرار گرفتند. این‌ها در کنار به‌روزرسانی‌هایی برای رفع مشکلات در محصولات Zoom، Cisco، VMWare و SAP هستند.

در اینجا جزئیات مربوط به تمام پچ‌های مهم منتشر شده در ماه اکتبر آمده است تا بدانید که باید کدام یک برنامه‌های خود را به‌روز کنید.

اپل iOS 16.1 و iPadOS 16

اکتبر شاهد انتشار دو نسخه iOS 16 پس از عرضه سیستم عامل به‌روز شده سازنده آیفون یعنی در اپل در ماه سپتامبر بود. ابتدا iOS 16.0.3 آمد، که برخی از مشکلات را برطرف کرد، از جمله چندین باگ و همچنین یک نقص امنیتی در Mail که می‌توانست منجر به حملات DOS شود.

تنها چند هفته بعد، اپل iOS 16.1 و iPadOS 16 را منتشر کرد – که دومی همزمان با عرضه آخرین مدل‌های iPad به تعویق افتاد. آخرین نسخه‌های iOS با فهرست بسیار طولانی‌تری از رفع‌های امنیتی همراه و شامل رفع مشکلی بودند که قبلاً مورد سوء استفاده قرار گرفته‌اند.

طبق صفحه پشتیبانی اپل، آسیب‌پذیری هسته که به‌عنوان CVE-2022-42827 یاد می‌شود، می‌تواند به برنامه اجازه دهد تا کدهای خاص و مخربی را در هسته اجرا کند. این به‌روزرسانی سیستم عامل در مجموع 20 آسیب پذیری را برطرف می‌کند، از جمله سه آسیب پذیری در هسته قلب سیستم عامل آیفون.

در همین حال، iOS 16.1 چهار نقص در WebKit، موتوری که مرورگر سافاری را تامین می‌کند، برطرف کرده، که دو مورد از آن‌ها در صورت سوء استفاده می‌توانند منجر به اجرای کدهای مخرب شوند.

اپل همچنین iOS 15.7.1 و iPadOS 15.7.1 را منتشر کرده است که نقص هسته که قبلاً مورد سوء استفاده قرار گرفته را برطرف می‌کند.

با توجه به جدی بودن مشکلات و عدم ارائه جزئیات، ایده خوبی است که دستگاه‌های اپل خود را در اسرع وقت به iOS 16.1 یا iOS 15.7.1 به‌روزرسانی کنید.

پچ سه شنبه مایکروسافت

پچ سه‌شنبه بار دیگر همراه با فهرست نسبتاً سنگینی از اصلاحات عرضه شد که شامل 84 نقص می‌شود. از این تعداد، 13 مورد به عنوان بحرانی رتبه بندی شده‌اند و یکی از آن‌ها در حملات اخیر استفاده می‌شد. با نام CVE-2022-41033، افزایش آسیب‌پذیری‌ها در سرویس سیستم رویداد از Windows COM Plus تقریباً بر هر نسخه از ویندوز تأثیر می‌گذارد. این نقص جدی است، زیرا می‌تواند با ترکیب با دیگر حفره‌های امنیتی منجر به سوءاستفاده‌های منتهی به تسلط بر رایانه شما شود.

لازم به ذکر است که در به‌روزرسانی‌های سه شنبه مایکروسافت راه‌حلی برای رفع دو باگ فعال به‌عنوان CVE-2022-41040 و CVE-2022-41082، معروف به ProxyNotShell وجود نداشت. این نقص‌ها توسط فروشنده امنیتی GTSC به مایکروسافت گزارش شده است. مایکروسافت اقداماتی را برای جلوگیری به اشتراک گذاشته، اما این محققان هشدار می‌دهند که امکان دور زدن آن‌ها نیز وجود دارد.

گوگل کروم

اکتبر شاهد یک به‌روزرسانی اضطراری دیگر برای کاربران Google Chrome بود، که گوگل اصلاحی را برای اشتباهی در موتور جاوا اسکریپت V8 که به‌عنوان CVE-2022-3723 ردیابی شده بود، عرضه کرد. این مشکل در عرض چند روز پس از گزارش توسط محققان Avast اصلاح شد، که نشان‌دهنده جدی بودن آن است: این نقص می‌تواند برای اجرای کد و به دست آوردن کنترل سیستم مورد سوء استفاده قرار گیرد. گوگل اعلام کرد که «از گزارش‌هایی مبنی بر وجود یک سوءاستفاده برای CVE-2022-3723 آگاه است».

در اوایل ماه جاری، گوگل، کروم نسخه 106 را منتشر کرد و شش آسیب‌پذیری با شدت بالا را اصلاح کرد. نقص‌های قابل توجه عبارتند از CVE-2022-3445، یک باگ UAF در Skia، کتابخانه گرافیکی دوبعدی متن باز که به عنوان موتور گرافیکی Google Chrome عمل می‌کند.

گوگل در وبلاگ خود نوشت، مشکلات دیگری که در ماه اکتبر برطرف شد عبارتند از یک حفره Heap Buffer Overflow در WebSQL که به عنوان CVE-2022-3446 ردیابی می‌شود و یک اشکال UAF در API دسترسی‌ها که به عنوان CVE-2022-3448 ردیابی می‌شود. گوگل همچنین دو باگ UAF را در مرور امن و اتصالات Peer برطرف کرد.

اندروید

به‌روزرسانی امنیتی اندروید برای ماه اکتبر شامل رفع 15 نقص در چارچوب و سیستم و 33 مشکل در اجزای هسته و Vendor است. یکی از نگران‌کننده‌ترین مسائل، یک آسیب‌پذیری امنیتی حیاتی در مؤلفه Framework است که می‌تواند منجر به تشدید Escalation of Privilege محلی شود، که تحت عنوان CVE-2022-20419 دنبال می‌شود. در همین حال، یک نقص در هسته همچنین می‌تواند بدون نیاز به Privileges اجرایی اضافی منجر به تشدید Escalation of Privilege محلی شود.

هیچ یک از این مشکلات در حملات استفاده نشده است، اما بازهم منطقی به نظر می‌رسد که دستگاه خود را بررسی کنید و در صورت امکان آن را به‌روز کنید. گوگل این به‌روزرسانی را برای دستگاه‌های پیکسل خود منتشر کرده است و همچنین برای گوشی‌های سری گلکسی S21 و S22 سامسونگ و گلکسی S21 FE نیز در دسترس است.

سیسکو

سیسکو از شرکت‌ها خواسته است تا دو نقص در AnyConnect Secure Mobility Client برای ویندوز خود را پس از تأیید استفاده از آسیب‌پذیری‌ها در حملات، اصلاح کنند. با ردیابی CVE-2020-3433، اولین مورد می‌تواند به مهاجمی با اعتبارنامه‌های معتبر در ویندوز اجازه دهد تا کد را روی دستگاه آسیب‌دیده با امتیازات سیستمی اجرا کند.

در همین حال، CVE-2020-3153 می‌تواند به یک مهاجم با اعتبارنامه معتبر ویندوز اجازه دهد تا فایل‌های مخرب را در مکان‌های دلخواه با امتیازات سطح سیستمی کپی کند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده ایرادات، سیسکو را به فهرست آسیب‌پذیری‌های مورد سوء استفاده خود اضافه کرده است.

در حالی که هر دو نقص سیسکو نیاز به احراز هویت مهاجم دارند، بازهم به‌روزرسانی کردن و جلوگیری از احتمالات، کار عقلانی و منطقی است.

Zoom

سرویس کنفرانس ویدیویی Zoom در ماه اکتبر چندین مشکل را اصلاح کرد، از جمله نقصی در Zoom Client برای جلسات، که به عنوان “دارای شدت بالا” با امتیاز CVSS 8.8 مشخص شده است. زوم می‌گوید نسخه‌های قبل از نسخه 5.12.2 مستعد آسیب پذیری تجزیه URL هستند که به عنوان CVE-2022-28763 ردیابی می‌شود.

Zoom در یک گزارش امنیتی گفت: “اگر یک URL ملاقات مخرب زوم باز شود، این پیوند ممکن است کاربر را به اتصال به یک آدرس شبکه دلخواه هدایت کند که منجر به حملات اضافی از جمله تصاحب جلسات شود.

در اوایل ماه، Zoom به کاربران هشدار داد که برنامه خود برای جلسات macOS که با نسخه 5.10.6 و قبل از نسخه 5.12.0 شروع می‌شود، دارای پیکربندی اشتباه پورت اشکال زدایی است.

VMWare

غول نرم افزاری VMWare یک آسیب پذیری جدی ردیابی شده به عنوان CVE-2021-39144 را در بنیاد ابری خود اصلاح کرده است.

آسیب‌پذیری اجرای کد از راه دور از طریق کتابخانه متن باز XStream دارای یک شدت بحرانی با حداکثر امتیاز پایه CVSSv3 9.8 است. VMWare در مشاوره‌ای گفت: “به دلیل یک نقطه پایانی تأیید نشده که از XStream برای سریال سازی ورودی در VMware Cloud Foundation استفاده می‌کند، یک Actor مخرب می‌تواند اجرای کد از راه دور را در زمینه “ریشه” در دستگاه دریافت کند.”

به‌روزرسانی VMware Cloud Foundation همچنین به آسیب پذیری XML External Entity با امتیاز پایه کمتر CVSSv3 5.3 می‌پردازد. این باگ که به‌عنوان CVE-2022-31678 ردیابی می‌شود، می‌تواند به کاربر احراز هویت نشده اجازه دهد تا حمله DOS را انجام دهد.

زیمبرا

شرکت نرم‌افزاری Zimbra پچ‌هایی را برای رفع نقص اجرای کد که قبلاً مورد سوء استفاده قرار گرفته بود، منتشر کرده است که می‌تواند به مهاجم اجازه دسترسی به حساب‌های کاربری را بدهد. این مشکل که با نام CVE-2022-41352 دنبال می‌شود، دارای امتیاز شدت CVSS 9.8 است.

محققین Rapid7 توانستند استفاده از این حفره امنیتی را در برخی حملات شناسایی کنند. Zimbra در ابتدا یک راه حل برای رفع آن منتشر کرد، اما اکنون پچ در دسترس است، که باید آن را در اسرع وقت اعمال کنید.

SAP

شرکت نرم افزاری سازمانی SAP بیست و سه یادداشت امنیتی جدید و به‌روز شده را در روز پچ اکتبر خود منتشر کرده است. یکی از جدی‌ترین مسائل، آسیب‌پذیری حیاتی Path Traversal در SAP Manufacturing Execution است. این آسیب پذیری بر دو افزونه اثر می‌گذارد: Work Instruction Viewer و Visual Test and Repair و دارای امتیاز CVSS 9.9 است.

مشکل دیگر با امتیاز CVSS 9.6 آسیب پذیری سرقت حساب در صفحه ورود SAP Commerce است.

Oracle

غول نرم افزاری Oracle به عنوان بخشی از به‌روزرسانی امنیتی سه ماهه خود، 370 پچ بزرگ منتشر کرده است. به‌روزرسانی پچ بحرانی اوراکل برای ماه اکتبر 50 آسیب‌پذیری را که به عنوان بحرانی رتبه‌بندی شده‌اند، برطرف می‌کند.

این به‌روزرسانی شامل 37 پچ امنیتی جدید برای Oracle MySQL است که 11 مورد از آن‌ها ممکن است بدون احراز هویت از راه دور قابل بهره برداری باشند. همچنین شامل 24 پچ امنیتی جدید برای برنامه‌های خدمات مالی Oracle است که 16 مورد از آن‌ها ممکن است بدون احراز هویت از راه دور قابل بهره برداری باشند.

با توجه به “تهدید ناشی از یک حمله موفقیت آمیز”، اوراکل “اکیداً توصیه می‌کند” که مشتریان در اسرع وقت این پچ‌های امنیتی را اعمال کنند.