اخبار

يعمل iOS 16.5 من Apple على إصلاح 3 أخطاء أمنية مستخدمة بالفعل في الهجمات


Apple و Google و أصدرت Microsoft تصحيحات رئيسية هذا الشهر لإصلاح العديد من الثغرات الأمنية المستخدمة بالفعل في الهجمات. كان شهر مايو أيضًا شهرًا حاسمًا لبرامج المؤسسات ، حيث أصدرت GitLab و SAP و Cisco إصلاحات لأخطاء متعددة في منتجاتها.

إليك كل ما تحتاج لمعرفته حول تحديثات الأمان التي تم إصدارها في مايو.

Apple iOS و iPadOS 16.5

أصدرت Apple تحديثها الذي طال انتظاره iOS 16.5 ، والذي يعالج 39 مشكلة ، ثلاثة منها يتم استغلالها بالفعل في هجمات واقعية. تعمل ترقية iOS على تصحيح الثغرات الأمنية في Kernel في قلب نظام التشغيل وفي WebKit ، المحرك الذي يشغل متصفح Safari. العيوب الثلاثة التي تم استغلالها بالفعل هي من بين خمسة عيوب تم إصلاحها في WebKit – تم تعقبها كـ CVE-2023-32409 و CVE-2023-28204 و CVE-2023-32373.

CVE-2023-32409 هي مشكلة قد تسمح للمهاجم بالخروج من وضع الحماية لمحتوى الويب عن بُعد ، وفقًا لما ذكره Clément Lecigne من مجموعة تحليل التهديدات في Google و Donncha Cearbhaill من مختبر الأمن التابع لمنظمة العفو الدولية. CVE-2023-28204 هو عيب يهدد بكشف المستخدم عن معلومات حساسة. أخيرًا ، يعد CVE-2023-32373 خطأً خاليًا من الاستخدام يمكن أن يتيح تنفيذ التعليمات البرمجية التعسفية.

في وقت سابق من الشهر ، أصدرت Apple iOS 16.4.1 (a) و iPadOS 16.4.1 (a) – أول تحديث على الإطلاق لاستجابة الأمان السريع لشركة iPhone – لإصلاح الثغرتين الأخيرتين المستغلتين في WebKit والتي تم تصحيحها أيضًا في iOS 16.5.

تم إصدار Apple iOS و iPadOS 16.5 جنبًا إلى جنب مع iOS 15.7.6 و iPadOS 15.7.6 لأجهزة iPhone الأقدم ، بالإضافة إلى iTunes 12.12.9 لنظام التشغيل Windows و Safari 16.5 و macOS Big Sur 11.7.7 و macOS Ventura 13.4 و macOS Monterey 12.6. 6.

أصدرت Apple أيضًا أول تحديث أمني لها لسماعات Beats و AirPods.

مايكروسوفت

قام تصحيح منتصف الشهر من Microsoft يوم الثلاثاء بإصلاح 40 مشكلة أمنية ، اثنتان منها كانت عيوبًا تم استخدامها بالفعل في الهجمات. أول ثغرة في اليوم صفر ، CVE-2023-29336 ، هي خطأ في رفع الامتياز في برنامج تشغيل Win32k والذي قد يسمح للمهاجم بالحصول على امتيازات النظام.

العيب الخطير الثاني ، CVE-2023-24932 ، هو مشكلة تجاوز ميزة أمان التمهيد الآمن التي قد تسمح لمهاجم ذي امتيازات بتنفيذ التعليمات البرمجية. قالت Microsoft: “يمكن للمهاجم الذي نجح في استغلال هذه الثغرة الأمنية تجاوز التمهيد الآمن” ، مضيفة أنه من الصعب استغلال الثغرة: “يتطلب الاستغلال الناجح لهذه الثغرة الأمنية مهاجمًا لخرق بيانات اعتماد المسؤول على الجهاز.”

حذرت الشركة من أن التحديث الأمني ​​ليس إصلاحًا كاملاً: فهو يعالج الثغرة الأمنية عن طريق تحديث Windows Boot Manager ، مما قد يتسبب في حدوث مشكلات. قالت Microsoft إن خطوات إضافية مطلوبة في هذا الوقت للتخفيف من الثغرة الأمنية ، مشيرة إلى الخطوات التي يمكن أن يتخذها المستخدمون المتأثرون للتخفيف من المشكلة.

جوجل أندرويد

أصدرت Google أحدث تصحيحات أمان Android ، حيث أصلحت 40 عيبًا ، بما في ذلك ثغرة أمنية في Kernel تم استغلالها بالفعل. تتضمن التحديثات أيضًا إصلاحات لمشاكل في مكونات Android Framework و System و Kernel و MediaTek و Unisoc و Qualcomm.

وقالت جوجل إن أشد هذه المشكلات خطورة هي ثغرة أمنية شديدة الخطورة في مكون الإطار والتي يمكن أن تؤدي إلى تصعيد محلي للامتياز ، مضيفة أن تفاعل المستخدم ضروري للاستغلال.

كانت CVE-2023-0266 مرتبطة سابقًا ببائعي برامج التجسس التجارية ، وهي إحدى مشكلات Kernel التي قد تؤدي إلى تصعيد الامتياز محليًا. تفاعل المستخدم ليس ضروريًا للاستغلال.


اكتشاف المزيد من نص كم

اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

اكتشاف المزيد من نص كم

اشترك الآن للاستمرار في القراءة والحصول على حق الوصول إلى الأرشيف الكامل.

Continue reading