Die Ferienzeit ist fast vorbei, aber Sicherheitspatches treffen im Dezember immer noch dicht beieinander ein. In diesem Monat wurden Updates von Apple, Google und Microsoft sowie von Unternehmen für Unternehmenssoftware wie SAP, Citrix und VMWare veröffentlicht.
Viele der Patches beheben Zero-Day-Schwachstellen, die bereits bei Angriffen ausgenutzt werden, weshalb es wichtig ist, dass sie so schnell wie möglich angewendet werden. Hier sind die Fakten zu allen Patches, die im Dezember veröffentlicht wurden.
Apple iOS und iPadOS 16.2, iOS 15.7.2, iOS 16.1.2
Apple hat im Dezember ein wichtiges Punkt-Upgrade für sein Betriebssystem iOS 16 veröffentlicht: iOS 16.2. Das Update enthält Funktionen wie die Ende-zu-Ende-Verschlüsselung in iCloud, behebt aber auch 35 Sicherheitslücken.
Keines der in iOS 16.2 gepatchten Probleme wurde bekanntermaßen bei Angriffen verwendet; Viele sind jedoch ziemlich ernst. Zu den Fehlern gehören sechs im Kernel und neun in der Engine, die Apples Safari-Browser WebKit antreibt, wodurch ein Angreifer Code ausführen könnte.
Apple hat iOS 15.7.2 auch für Nutzer älterer iPhones freigegeben kann iOS 16 nicht ausführen, Behebung eines Fehlers, der bereits bei Angriffen verwendet wird. Verfolgt als CVE-2022-42856die WebKit-Schwachstelle könnte es einem Angreifer ermöglichen, Code auszuführen, so Apple Support-Seite. Apple hat Ende November den gleichen WebKit-Fehler behoben iOS 16.1.2.
Seit dem Start von iOS 16 im September bietet Apple Sicherheitsupdates für diejenigen an, die nicht auf das neue Betriebssystem upgraden möchten. Aber iOS 15.7.2 ist nur für ältere iPhones. Wenn Sie also ein iPhone 8 oder höher haben, müssen Sie jetzt auf iOS 16 aktualisieren, um sicher zu bleiben.
Der iPhone-Hersteller veröffentlichte auch macOS Ventura 13.1, watchOS 9.2, tvOS 16.2, macOS Big Sur 11.7.2, macOS Monterey 12.6.2 und Safari 16.2.
Google-Android
Der Dezember war ein kräftiger Patch-Monat für das Android-Betriebssystem von Google, mit Fixes für Dutzende von Sicherheitslücken, die im Laufe des Monats veröffentlicht wurden. Verfolgt als CVE-2022-20411die schwerwiegendste ist eine kritische Schwachstelle in der Systemkomponente, die zur Remote-Code-Ausführung über Bluetooth führen könnte, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind, sagte Google in a Sicherheitsbulletin.
Google hat auch zwei kritische Fehler in der Android-Framework-Komponente, CVE-2022-20472 und CVE-2022-20473, behoben. Inzwischen wurden 151 Pixel-spezifische Fehler gefunden gepatcht von Google im Dezember.
Der Dezember-Patch ist für Googles eigene Pixel-Geräte sowie für Samsung-Smartphones verfügbar, einschließlich der Flaggschiff-Galaxy-Reihe des Hardwareherstellers.
Google Chrome 108
Google hat ein Notfall-Update für seinen Chrome-Browser herausgegeben, um das Problem zu beheben neunter Zero-Day Schwachstelle des Jahres. Verfolgt als CVE-2022-4262, könnte das Typverwirrungsproblem mit hohem Schweregrad in der V8-JavaScript-Engine von Chrome es einem entfernten Angreifer ermöglichen, Heap-Korruption über eine manipulierte HTML-Seite auszunutzen. „Google ist sich bewusst, dass ein Exploit für CVE-2022-4262 in freier Wildbahn existiert“, sagte der Browserhersteller in einem bloggen.
Das Notfall-Update kam nur wenige Tage nach der Veröffentlichung des Chrome 108-Patches durch Google 28 Sicherheitslücken. Zu den Fixes gehören CVE-2022-4174– ein Typverwirrungsfehler in V8 – und mehrere Use-after-free-Bugs. Laut Google wurde keine dieser Sicherheitslücken für Angriffe ausgenutzt. Da sich der neueste Fehler jedoch bereits in den Händen von Angreifern befindet, ist es eine gute Idee, Chrome so schnell wie möglich zu aktualisieren.
Microsoft-Patchday
Der Dezember-Patchday von Microsoft war ein weiterer großer Patch, bei dem 49 Sicherheitslücken behoben wurden, darunter ein Fehler, der bei Angriffen verwendet wurde. Verfolgt als CVE-2022-44698handelt es sich bei dem Problem um eine Schwachstelle zur Umgehung der Sicherheitsfunktion von Windows SmartScreen, die zu einem Verlust der Integrität und Verfügbarkeit führen kann.
„Ein Angreifer kann eine bösartige Datei erstellen, die Mark of the Web (MOTW)-Verteidigungen entgeht, was zu einem begrenzten Verlust der Integrität und Verfügbarkeit von Sicherheitsfunktionen wie Protected View in Microsoft Office führt, die auf MOTW-Tagging basieren“, Microsoft sagte.