Tech-Giganten Apple, Microsoft und Google haben jeweils im April größere Sicherheitslücken behoben, von denen viele bereits in realen Angriffen verwendet wurden. Andere Firmen, die Patches herausgeben, sind der datenschutzorientierte Browser Firefox und die Anbieter von Unternehmenssoftware SolarWinds und Oracle.
Hier finden Sie alles, was Sie über die im April veröffentlichten Patches wissen müssen.
Apfel
Heiß auf den Fersen von iOS 16.4Apple hat das iOS 16.4.1 veröffentlicht aktualisieren um zwei Sicherheitslücken zu schließen, die bereits für Angriffe verwendet werden. CVE-2023-28206 ist ein Problem im IOSurfaceAccelerator, das eine App sehen könnte, die in der Lage ist, Code mit Kernel-Privilegien auszuführen, sagte Apple auf seiner Support-Seite.
CVE-2023-28205 ist ein Problem in WebKit, der Engine, die den Safari-Browser antreibt, das zur Ausführung willkürlichen Codes führen kann. In beiden Fällen sagt der iPhone-Hersteller: „Apple ist ein Bericht bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.“
Der Fehler bedeutet, dass der Besuch einer mit Sprengfallen versehenen Website Cyberkriminellen die Kontrolle über Ihren Browser geben könnte – oder über jede App, die WebKit zum Rendern und Anzeigen von HTML-Inhalten verwendet, sagt Paul Ducklin, Sicherheitsforscher bei einer Cybersicherheitsfirma Sophos.
Die beiden in iOS 16.4.1 behobenen Fehler wurden von Googles Threat Analysis Group und dem Security Lab von Amnesty International gemeldet. Unter Berücksichtigung dessen glaubt Ducklin, dass die Sicherheitslücken zum Einschleusen von Spyware verwendet werden könnten.
Apple hat auch veröffentlicht iOS 15.7.5 für Benutzer älterer iPhones, um dieselben bereits ausgenutzten Fehler zu beheben. Inzwischen hat der iPhone-Hersteller macOS Ventura 13.3.1, Safari 16.4.1, macOS Monterey 12.6.5 und macOS Big Sur 11.7.6 veröffentlicht.
Microsoft
Apple war nicht das einzige große Technologieunternehmen, das im April Notfall-Patches veröffentlichte. Microsoft hat im Rahmen des Patchday-Updates dieses Monats auch einen dringenden Fix veröffentlicht. CVE-2023-28252 ist ein Rechteerweiterungsfehler im Windows Common Log File System Driver. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte Systemrechte erlangen, sagte Microsoft in einem beratend.
Ein weiterer bemerkenswerter Fehler, CVE-2023-21554, ist eine Schwachstelle in Microsoft Message Queuing, die eine Remotecodeausführung ermöglicht und als kritisch eingestuft wird. Um die Schwachstelle auszunutzen, müsste ein Angreifer laut Microsoft ein bösartiges MSMQ-Paket an einen MSMQ-Server senden, was zu einer Remote-Code-Ausführung auf der Serverseite führen könnte.
Der Fix war Teil einer Reihe von Patches für 98-Schwachstellen, daher lohnt es sich, die Empfehlung zu lesen und so schnell wie möglich zu aktualisieren.
Google-Android
Google hat mehrere Patches für sein Android-Betriebssystem veröffentlicht, die mehrere schwerwiegende Lücken schließen. Der schwerwiegendste Fehler ist eine kritische Sicherheitslücke in der Systemkomponente, die zur Remote-Code-Ausführung führen könnte, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind, sagte Google in seinem Android-Sicherheitsbulletin. Für die Nutzung ist keine Benutzerinteraktion erforderlich.
Zu den gepatchten Problemen gehören 10 im Framework, darunter acht Fehler bei der Erhöhung von Berechtigungen, und neun weitere, die als hochgradig eingestuft wurden. Google hat 16 Fehler im System behoben, darunter zwei kritische RCE-Fehler und mehrere Probleme in den Kernel- und SoC-Komponenten.
Das Update enthält auch mehrere Pixelspezifisch Patches, einschließlich eines Elevation-of-Privilege-Fehlers im Kernel, der als CVE-2023-0266 verfolgt wird. Der Android-April-Patch ist sowohl für Google-Geräte als auch -Modelle verfügbar einschließlich Samsungs Galaxy S-Serie neben der Fold- und Flip-Serie.
Google Chrome
Anfang April veröffentlichte Google eine Patch 16 Probleme in seinem beliebten Chrome-Browser zu beheben, von denen einige schwerwiegend sind. Zu den gepatchten Schwachstellen gehören CVE-2023-1810, ein Heap-Buffer-Overflow-Problem in Visuals, das als schwerwiegend eingestuft wurde, und CVE-2023-1811, eine Use-after-Free-Schwachstelle in Frames. Die verbleibenden 14 Sicherheitslücken werden mit mittlerer oder geringer Auswirkung bewertet.
Mitte des Monats musste Google ein Notfall-Update herausgeben, diesmal um zwei Fehler zu beheben, von denen einer bereits in realen Angriffen verwendet wird. CVE-2023-2033 ist eine Art Verwirrungsfehler in der V8-JavaScript-Engine. „Google ist sich bewusst, dass ein Exploit für CVE-2023-2033 in freier Wildbahn existiert“, sagte der Softwareriese auf seiner bloggen.
Nur Tage später, Google freigegeben ein weiterer Patch, der Probleme behebt, darunter einen weiteren Zero-Day-Fehler, der als CVE-2023-2136 verfolgt wird, ein Integer-Overflow-Bug in der Skia-Grafik-Engine.