Apple, Google und Microsoft hat diesen Monat wichtige Patches veröffentlicht, um mehrere Sicherheitslücken zu beheben, die bereits bei Angriffen ausgenutzt werden. Der Mai war auch ein kritischer Monat für Unternehmenssoftware, da GitLab, SAP und Cisco Korrekturen für mehrere Fehler in ihren Produkten veröffentlichten.
Hier finden Sie alles, was Sie darüber wissen müssen Sicherheitsupdates im Mai veröffentlicht.
Apple iOS und iPadOS 16.5
Apple hat sein lang erwartetes Punkt-Update veröffentlicht iOS 16.5Dabei werden 39 Probleme behandelt, von denen drei bereits in realen Angriffen ausgenutzt werden. Das iOS-Upgrade behebt Schwachstellen im Kernel des Betriebssystems und in WebKit, der Engine, die den Safari-Browser antreibt. Die drei bereits ausgenutzten Schwachstellen gehören zu den fünf in WebKit behobenen Schwachstellen, die als CVE-2023-32409, CVE-2023-28204 und CVE-2023-32373 verfolgt werden.
CVE-2023-32409 ist ein Problem, das es einem Angreifer ermöglichen könnte, aus der Ferne aus der Sandbox für Webinhalte auszubrechen, berichtet von Clément Lecigne von der Threat Analysis Group von Google und Donncha Ó Cearbhaill vom Security Lab von Amnesty International. CVE-2023-28204 ist ein Fehler, der das Risiko birgt, dass ein Benutzer vertrauliche Informationen preisgibt. Schließlich handelt es sich bei CVE-2023-32373 um einen Use-After-Free-Bug, der die Ausführung willkürlichen Codes ermöglichen könnte.
Anfang des Monats veröffentlichte Apple iOS 16.4.1 (a) und iPadOS 16.4.1 (a) – die allerersten Versionen des iPhone-Herstellers Schnelle Sicherheitsreaktion Update – Behebung der beiden letztgenannten ausgenutzten WebKit-Schwachstellen, die auch in iOS 16.5 gepatcht wurden.
Apple iOS und iPadOS 16.5 wurden zusammen mit iOS 15.7.6 und iPadOS 15.7.6 für ältere iPhones sowie iTunes 12.12.9 für Windows, Safari 16.5, macOS Big Sur 11.7.7, macOS Ventura 13.4 und macOS Monterey 12.6 veröffentlicht. 6.
Apple auch freigegeben sein erstes Sicherheitsupdate für Beats- und AirPods-Kopfhörer.
Microsoft
Mit dem Patch Tuesday von Microsoft zur Monatsmitte wurden 40 Sicherheitsprobleme behoben, zwei davon waren Zero-Day-Schwachstellen, die bereits bei Angriffen genutzt wurden. Die erste Zero-Day-Schwachstelle, CVE-2023-29336handelt es sich um einen Fehler zur Rechteerweiterung im Win32k-Treiber, der es einem Angreifer ermöglichen könnte, Systemprivilegien zu erlangen.
Der zweite schwerwiegende Fehler, CVE-2023-24932handelt es sich um ein Problem bei der Umgehung der Secure Boot-Sicherheitsfunktion, das es einem privilegierten Angreifer ermöglichen könnte, Code auszuführen. „Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Secure Boot umgehen“, sagte Microsoft und fügte hinzu, dass die Schwachstelle schwer auszunutzen sei: „Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer die Administratoranmeldeinformationen auf dem Gerät kompromittieren.“
Bei dem Sicherheitsupdate handelt es sich nicht um eine vollständige Lösung: Es behebt die Sicherheitslücke durch ein Update des Windows-Boot-Managers, was zu Problemen führen könnte, warnte das Unternehmen. Zu diesem Zeitpunkt seien weitere Schritte erforderlich, um die Sicherheitslücke zu schließen, sagte Microsoft und wies darauf hin Schritte Betroffene Benutzer können das Problem beheben.
Google Android
Google hat seine veröffentlicht neueste Android-Sicherheitspatches, Behebung von 40 Fehlern, darunter eine bereits ausgenutzte Kernel-Schwachstelle. Die Updates umfassen auch Korrekturen für Probleme in den Komponenten Android Framework, System, Kernel, MediaTek, Unisoc und Qualcomm.
Das schwerwiegendste dieser Probleme ist eine hochgradige Sicherheitslücke in der Framework-Komponente, die zu einer lokalen Eskalation von Berechtigungen führen könnte, sagte Google und fügte hinzu, dass für die Ausnutzung eine Benutzerinteraktion erforderlich sei.
Bisher verbunden mit kommerzielle Spyware-Anbieter, CVE-2023-0266 ist ein Kernel-Problem, das zu einer lokalen Eskalation der Berechtigungen führen könnte. Für die Ausnutzung ist keine Benutzerinteraktion erforderlich.