Februar war ein großer Monat für Sicherheitsupdates, in dem Unternehmen wie Apple, Microsoft und Google Patches veröffentlichen, um schwerwiegende Schwachstellen zu beheben. In der Zwischenzeit wurde eine Reihe von Unternehmensfehlern von Unternehmen wie VMware, SAP und Citrix behoben.
Zu den im Laufe des Monats behobenen Fehlern gehören mehrere, die bei realen Angriffen verwendet wurden. Es lohnt sich also, zu überprüfen, ob Ihre Software auf dem neuesten Stand ist.
Hier finden Sie alles, was Sie über die diesen Monat veröffentlichten Sicherheitsupdates wissen müssen.
Apple iOS und iPadOS 16.3.1
Nur Wochen Nach der Veröffentlichung von iOS 16.3 veröffentlichte Apple iOS und iPadOS 16.3.1 – einen Notfall-Patch zur Behebung von Schwachstellen, darunter a Mangel in der bereits bei Angriffen eingesetzten Browser-Engine WebKit.
Der bereits ausgenutzte Fehler, der als CVE-2023-23529 verfolgt wird, könnte zur Ausführung willkürlichen Codes führen, warnte Apple auf seiner Website Support-Seite. „Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise aktiv ausgenutzt wurde“, fügte die Firma hinzu. Ein weiterer in iOS 16.3.1 gepatchter Fehler liegt im Kernel im Herzen des iPhone-Betriebssystems. Der Fehler, der als verfolgt wird CVE-2023-23514könnte es einem Angreifer ermöglichen, beliebigen Code mit Kernel-Privilegien auszuführen.
Später im Monat dokumentierte Apple eine weitere Schwachstelle, die in iOS 16.3.1, CVE-2023-23524, behoben wurde. Berichtet von David Benjamineinem Softwareentwickler bei Google, könnte der Fehler einen Denial-of-Service-Angriff über ein in böser Absicht erstelltes Zertifikat ermöglichen.
Apple veröffentlichte im Laufe des Monats auch macOS Ventura 13.2.1, tvOS 16.3.2 und watchOS 9.3.1.
Microsoft
Mitte Februar warnte Microsoft, dass sein Patch Tuesday 76 Sicherheitslücken geschlossen habe, von denen drei bereits für Angriffe genutzt würden. Sieben der Schwachstellen werden laut Microsoft als kritisch eingestuft Anleitung aktualisieren.
Verfolgt als CVE-2023-21823einer der schwerwiegendsten der bereits ausgenutzten Fehler in der Windows-Grafikkomponente, könnte es einem Angreifer ermöglichen, Systemrechte zu erlangen.
Ein weiterer bereits ausgenutzter Fehler, CVE-2023-21715, ist ein Feature-Bypass-Problem in Microsoft Publisher CVE-2023-23376 ist eine Sicherheitsanfälligkeit bezüglich der Ausweitung von Berechtigungen im allgemeinen Windows-Protokolldateisystemtreiber.
Das sind eine Menge Zero-Day-Fehler, die in einer Version behoben wurden, also nehmen Sie es als Aufforderung, Ihre Microsoft-basierten Systeme so schnell wie möglich zu aktualisieren.
Google-Android
Das Februar-Sicherheitsupdate von Android ist da und behebt mehrere Schwachstellen in Geräten, auf denen die Smartphone-Software des Technologieriesen läuft. Das schwerwiegendste dieser Probleme ist eine Sicherheitslücke in der Framework-Komponente, die zu einer lokalen Eskalation von Berechtigungen führen kann, ohne dass zusätzliche Berechtigungen erforderlich sind, stellte Google in einem fest beratend.
Von den im Rahmenkonzept behobenen Problemen werden acht als stark beeinträchtigend eingestuft. Inzwischen hat Google sechs Bugs im Kernel sowie Fehler in den System-, MediaTek- und Unisoc-Komponenten gequetscht.
Im Laufe des Monats hat Google mehrere Schwachstellen bei der Rechteausweitung sowie bei der Offenlegung von Informationen und Denial-of-Service-Schwachstellen gepatcht. Das Unternehmen hat auch einen Patch für drei Pixel-spezifische Sicherheitsprobleme veröffentlicht. Der Android-Februar-Patch ist bereits für Googles Pixel-Geräte verfügbar, während Samsung umgezogen ist schnell um das Update an Benutzer seiner Galaxy Note 20-Reihe herauszugeben.
Google Chrome
Google hat Chrome 110 für seinen Browser veröffentlicht und schließt 15 Sicherheitslücken, von denen drei als hochgradig eingestuft werden. Verfolgt als CVE-2023-0696der erste davon ist ein Typverwirrungsfehler in der V8-JavaScript-Engine, schrieb Google in einem Wertpapier beratend.
In der Zwischenzeit, CVE-2023-0697 ist ein Fehler, der eine unangemessene Implementierung im Vollbildmodus ermöglicht, und CVE-2023-0698 ist ein Out-of-Bounds-Lesefehler in WebRTC. Vier Schwachstellen mittleren Schweregrades beinhalten eine Use After Free in GPU, einen Heap-Buffer-Overflow-Fehler in WebUI und eine Type Confusion-Schwachstelle in Data Transfer. Zwei weitere Mängel werden mit geringer Auswirkung bewertet.