در این مقاله به جزئیات مهمترین به روزرسانی هایی که در ماه اکتبر عرضه شدند میپردازیم تا هیچ آپدیت مهمی را از دست ندهید. با ما در آیتیرسان همراه باشید.
انتشار بهروزرسانیها در ماه اکتبر بهصورت منظم و سریع ادامه یافتند، و پچهایی از قبیل iOS، Google Chrome، Android و البته مایکروسافت در Patch سهشنبه ماهانهاش در دسترس قرار گرفتند. اینها در کنار بهروزرسانیهایی برای رفع مشکلات در محصولات Zoom، Cisco، VMWare و SAP هستند.
در اینجا جزئیات مربوط به تمام پچهای مهم منتشر شده در ماه اکتبر آمده است تا بدانید که باید کدام یک برنامههای خود را بهروز کنید.
اپل iOS 16.1 و iPadOS 16
اکتبر شاهد انتشار دو نسخه iOS 16 پس از عرضه سیستم عامل بهروز شده سازنده آیفون یعنی در اپل در ماه سپتامبر بود. ابتدا iOS 16.0.3 آمد، که برخی از مشکلات را برطرف کرد، از جمله چندین باگ و همچنین یک نقص امنیتی در Mail که میتوانست منجر به حملات DOS شود.
تنها چند هفته بعد، اپل iOS 16.1 و iPadOS 16 را منتشر کرد – که دومی همزمان با عرضه آخرین مدلهای iPad به تعویق افتاد. آخرین نسخههای iOS با فهرست بسیار طولانیتری از رفعهای امنیتی همراه و شامل رفع مشکلی بودند که قبلاً مورد سوء استفاده قرار گرفتهاند.
طبق صفحه پشتیبانی اپل، آسیبپذیری هسته که بهعنوان CVE-2022-42827 یاد میشود، میتواند به برنامه اجازه دهد تا کدهای خاص و مخربی را در هسته اجرا کند. این بهروزرسانی سیستم عامل در مجموع 20 آسیب پذیری را برطرف میکند، از جمله سه آسیب پذیری در هسته قلب سیستم عامل آیفون.
در همین حال، iOS 16.1 چهار نقص در WebKit، موتوری که مرورگر سافاری را تامین میکند، برطرف کرده، که دو مورد از آنها در صورت سوء استفاده میتوانند منجر به اجرای کدهای مخرب شوند.
اپل همچنین iOS 15.7.1 و iPadOS 15.7.1 را منتشر کرده است که نقص هسته که قبلاً مورد سوء استفاده قرار گرفته را برطرف میکند.
با توجه به جدی بودن مشکلات و عدم ارائه جزئیات، ایده خوبی است که دستگاههای اپل خود را در اسرع وقت به iOS 16.1 یا iOS 15.7.1 بهروزرسانی کنید.
پچ سه شنبه مایکروسافت
پچ سهشنبه بار دیگر همراه با فهرست نسبتاً سنگینی از اصلاحات عرضه شد که شامل 84 نقص میشود. از این تعداد، 13 مورد به عنوان بحرانی رتبه بندی شدهاند و یکی از آنها در حملات اخیر استفاده میشد. با نام CVE-2022-41033، افزایش آسیبپذیریها در سرویس سیستم رویداد از Windows COM Plus تقریباً بر هر نسخه از ویندوز تأثیر میگذارد. این نقص جدی است، زیرا میتواند با ترکیب با دیگر حفرههای امنیتی منجر به سوءاستفادههای منتهی به تسلط بر رایانه شما شود.
لازم به ذکر است که در بهروزرسانیهای سه شنبه مایکروسافت راهحلی برای رفع دو باگ فعال بهعنوان CVE-2022-41040 و CVE-2022-41082، معروف به ProxyNotShell وجود نداشت. این نقصها توسط فروشنده امنیتی GTSC به مایکروسافت گزارش شده است. مایکروسافت اقداماتی را برای جلوگیری به اشتراک گذاشته، اما این محققان هشدار میدهند که امکان دور زدن آنها نیز وجود دارد.
گوگل کروم
اکتبر شاهد یک بهروزرسانی اضطراری دیگر برای کاربران Google Chrome بود، که گوگل اصلاحی را برای اشتباهی در موتور جاوا اسکریپت V8 که بهعنوان CVE-2022-3723 ردیابی شده بود، عرضه کرد. این مشکل در عرض چند روز پس از گزارش توسط محققان Avast اصلاح شد، که نشاندهنده جدی بودن آن است: این نقص میتواند برای اجرای کد و به دست آوردن کنترل سیستم مورد سوء استفاده قرار گیرد. گوگل اعلام کرد که «از گزارشهایی مبنی بر وجود یک سوءاستفاده برای CVE-2022-3723 آگاه است».
در اوایل ماه جاری، گوگل، کروم نسخه 106 را منتشر کرد و شش آسیبپذیری با شدت بالا را اصلاح کرد. نقصهای قابل توجه عبارتند از CVE-2022-3445، یک باگ UAF در Skia، کتابخانه گرافیکی دوبعدی متن باز که به عنوان موتور گرافیکی Google Chrome عمل میکند.
گوگل در وبلاگ خود نوشت، مشکلات دیگری که در ماه اکتبر برطرف شد عبارتند از یک حفره Heap Buffer Overflow در WebSQL که به عنوان CVE-2022-3446 ردیابی میشود و یک اشکال UAF در API دسترسیها که به عنوان CVE-2022-3448 ردیابی میشود. گوگل همچنین دو باگ UAF را در مرور امن و اتصالات Peer برطرف کرد.
اندروید
بهروزرسانی امنیتی اندروید برای ماه اکتبر شامل رفع 15 نقص در چارچوب و سیستم و 33 مشکل در اجزای هسته و Vendor است. یکی از نگرانکنندهترین مسائل، یک آسیبپذیری امنیتی حیاتی در مؤلفه Framework است که میتواند منجر به تشدید Escalation of Privilege محلی شود، که تحت عنوان CVE-2022-20419 دنبال میشود. در همین حال، یک نقص در هسته همچنین میتواند بدون نیاز به Privileges اجرایی اضافی منجر به تشدید Escalation of Privilege محلی شود.
هیچ یک از این مشکلات در حملات استفاده نشده است، اما بازهم منطقی به نظر میرسد که دستگاه خود را بررسی کنید و در صورت امکان آن را بهروز کنید. گوگل این بهروزرسانی را برای دستگاههای پیکسل خود منتشر کرده است و همچنین برای گوشیهای سری گلکسی S21 و S22 سامسونگ و گلکسی S21 FE نیز در دسترس است.
سیسکو
سیسکو از شرکتها خواسته است تا دو نقص در AnyConnect Secure Mobility Client برای ویندوز خود را پس از تأیید استفاده از آسیبپذیریها در حملات، اصلاح کنند. با ردیابی CVE-2020-3433، اولین مورد میتواند به مهاجمی با اعتبارنامههای معتبر در ویندوز اجازه دهد تا کد را روی دستگاه آسیبدیده با امتیازات سیستمی اجرا کند.
در همین حال، CVE-2020-3153 میتواند به یک مهاجم با اعتبارنامه معتبر ویندوز اجازه دهد تا فایلهای مخرب را در مکانهای دلخواه با امتیازات سطح سیستمی کپی کند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده ایرادات، سیسکو را به فهرست آسیبپذیریهای مورد سوء استفاده خود اضافه کرده است.
در حالی که هر دو نقص سیسکو نیاز به احراز هویت مهاجم دارند، بازهم بهروزرسانی کردن و جلوگیری از احتمالات، کار عقلانی و منطقی است.
Zoom
سرویس کنفرانس ویدیویی Zoom در ماه اکتبر چندین مشکل را اصلاح کرد، از جمله نقصی در Zoom Client برای جلسات، که به عنوان “دارای شدت بالا” با امتیاز CVSS 8.8 مشخص شده است. زوم میگوید نسخههای قبل از نسخه 5.12.2 مستعد آسیب پذیری تجزیه URL هستند که به عنوان CVE-2022-28763 ردیابی میشود.
Zoom در یک گزارش امنیتی گفت: “اگر یک URL ملاقات مخرب زوم باز شود، این پیوند ممکن است کاربر را به اتصال به یک آدرس شبکه دلخواه هدایت کند که منجر به حملات اضافی از جمله تصاحب جلسات شود.
در اوایل ماه، Zoom به کاربران هشدار داد که برنامه خود برای جلسات macOS که با نسخه 5.10.6 و قبل از نسخه 5.12.0 شروع میشود، دارای پیکربندی اشتباه پورت اشکال زدایی است.
VMWare
غول نرم افزاری VMWare یک آسیب پذیری جدی ردیابی شده به عنوان CVE-2021-39144 را در بنیاد ابری خود اصلاح کرده است.
آسیبپذیری اجرای کد از راه دور از طریق کتابخانه متن باز XStream دارای یک شدت بحرانی با حداکثر امتیاز پایه CVSSv3 9.8 است. VMWare در مشاورهای گفت: “به دلیل یک نقطه پایانی تأیید نشده که از XStream برای سریال سازی ورودی در VMware Cloud Foundation استفاده میکند، یک Actor مخرب میتواند اجرای کد از راه دور را در زمینه “ریشه” در دستگاه دریافت کند.”
بهروزرسانی VMware Cloud Foundation همچنین به آسیب پذیری XML External Entity با امتیاز پایه کمتر CVSSv3 5.3 میپردازد. این باگ که بهعنوان CVE-2022-31678 ردیابی میشود، میتواند به کاربر احراز هویت نشده اجازه دهد تا حمله DOS را انجام دهد.
زیمبرا
شرکت نرمافزاری Zimbra پچهایی را برای رفع نقص اجرای کد که قبلاً مورد سوء استفاده قرار گرفته بود، منتشر کرده است که میتواند به مهاجم اجازه دسترسی به حسابهای کاربری را بدهد. این مشکل که با نام CVE-2022-41352 دنبال میشود، دارای امتیاز شدت CVSS 9.8 است.
محققین Rapid7 توانستند استفاده از این حفره امنیتی را در برخی حملات شناسایی کنند. Zimbra در ابتدا یک راه حل برای رفع آن منتشر کرد، اما اکنون پچ در دسترس است، که باید آن را در اسرع وقت اعمال کنید.
SAP
شرکت نرم افزاری سازمانی SAP بیست و سه یادداشت امنیتی جدید و بهروز شده را در روز پچ اکتبر خود منتشر کرده است. یکی از جدیترین مسائل، آسیبپذیری حیاتی Path Traversal در SAP Manufacturing Execution است. این آسیب پذیری بر دو افزونه اثر میگذارد: Work Instruction Viewer و Visual Test and Repair و دارای امتیاز CVSS 9.9 است.
مشکل دیگر با امتیاز CVSS 9.6 آسیب پذیری سرقت حساب در صفحه ورود SAP Commerce است.
Oracle
غول نرم افزاری Oracle به عنوان بخشی از بهروزرسانی امنیتی سه ماهه خود، 370 پچ بزرگ منتشر کرده است. بهروزرسانی پچ بحرانی اوراکل برای ماه اکتبر 50 آسیبپذیری را که به عنوان بحرانی رتبهبندی شدهاند، برطرف میکند.
این بهروزرسانی شامل 37 پچ امنیتی جدید برای Oracle MySQL است که 11 مورد از آنها ممکن است بدون احراز هویت از راه دور قابل بهره برداری باشند. همچنین شامل 24 پچ امنیتی جدید برای برنامههای خدمات مالی Oracle است که 16 مورد از آنها ممکن است بدون احراز هویت از راه دور قابل بهره برداری باشند.
با توجه به “تهدید ناشی از یک حمله موفقیت آمیز”، اوراکل “اکیداً توصیه میکند” که مشتریان در اسرع وقت این پچهای امنیتی را اعمال کنند.