Es ist Zeit, Ihre Software-Updates zu überprüfen. Im März wurden wichtige Patches für Apples iOS, Googles Chrome und seinen datenschutzbewussten Konkurrenten Firefox veröffentlicht. Fehler wurden auch von Unternehmenssoftware-Giganten wie Cisco, VMware und SAP behoben.
Hier erfahren Sie, was Sie über die im März veröffentlichten Sicherheitsupdates wissen müssen.
Apple iOS
Apple machte den ruhigen Februar wett, indem es im März zwei separate Patches veröffentlichte. Anfang des Monats veröffentlichte der iPhone-Hersteller iOS 17.4 und behob damit über 40 Fehler, darunter zwei Probleme, die bereits bei realen Angriffen zum Einsatz kamen.
Verfolgt als CVE-2024-23225, der erste Fehler im iPhone-Kernel, könnte es einem Angreifer ermöglichen, den Speicherschutz zu umgehen. „Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise ausgenutzt wurde“, sagte der iPhone-Hersteller auf seiner Website Support-Seite.
Der als CVE-2024-23296 verfolgte zweite Fehler in RTKit, dem Echtzeitbetriebssystem, das in Geräten wie AirPods verwendet wird, könnte es einem Angreifer auch ermöglichen, den Kernel-Speicherschutz zu umgehen.
Später im März veröffentlichte Apple ein zweites Software-Update, diesmal iOS 17.4.1 Festsetzung zwei Fehler in seiner iPhone-Software, beide verfolgt als CVE-2024-1580. Mithilfe der in iOS 17.4.1 behobenen Probleme könnte ein Angreifer Code ausführen, wenn er jemanden dazu verleitet, mit einem Bild zu interagieren.
Kurz nach der Veröffentlichung von iOS 17.4.1 veröffentlichte Apple Patches für seine anderen Geräte, um dieselben Fehler zu beheben: Safari 17.4.1, macOS Sonoma 14.4.1 und macOS Ventura 13.6.6.
Google Chrome
Der März war ein weiterer hektischer Monat für Google, da mehrere Fehler in seinem Chrome-Browser behoben wurden. Mitte des Monats, Google freigegeben 12 Patches, einschließlich eines Fixes für CVE-2024-2625, Ein Objektlebenszyklusproblem in V8 mit einem hohen Schweregrad.
Zu den Problemen mittlerer Schwere gehören CVE-2024-2626, ein Lesefehler außerhalb der Grenzen in Swiftshader; CVE-2024-2627, ein Use-After-Free-Fehler in Canvas; und CVE-2024-2628, ein unangemessenes Implementierungsproblem in Downloads.
Am Ende des Monats Google ausgegeben sieben Sicherheitsfixes, darunter ein Patch für einen kritischen „Use-after-free“-Fehler in ANGLE, der als verfolgt wird CVE-2024-2883. Zwei weitere Use-After-Free-Bugs, die als CVE-2024-2885 und CVE-2024-2886 verfolgt werden, erhielten die Einstufung „Hoher Schweregrad“. In der Zwischenzeit, CVE-2024-2887 ist ein Typverwechslungsfehler in WebAssembly.
Die letzten beiden Probleme wurden beim Hacking-Wettbewerb Pwn2Own 2024 ausgenutzt, daher sollten Sie Ihren Chrome-Browser so schnell wie möglich aktualisieren.
Mozilla Firefox
Mozillas Firefox hatte danach einen arbeitsreichen März Patchen zwei Zero-Day-Schwachstellen, die bei Pwn2Own ausgenutzt werden. CVE-2024-29943 handelt es sich um ein Problem mit der Umgehung des Out-of-bounds-Zugriffs, während es sich bei CVE-2024-29944 um einen privilegierten JavaScript-Ausführungsfehler in Event-Handlern handelt, der zu einem Sandbox-Escape führen könnte. Beide Themen werden als kritisch eingestuft.
Anfang des Monats Mozilla freigegeben Firefox 124 soll zwölf Sicherheitsprobleme beheben, darunter CVE-2024-2605, eine Sandbox-Escape-Schwachstelle, die Windows-Betriebssysteme betrifft. Ein Angreifer hätte den Windows Error Reporter nutzen können, um beliebigen Code auf dem System auszuführen und so der Sandbox zu entkommen, so Mozilla.
Mit CVE-2024-2615 werden als kritisch eingestufte Speichersicherheitsfehler in Firefox 124 behoben. „Einige dieser Fehler zeigten Anzeichen einer Speicherbeschädigung, und wir gehen davon aus, dass dies bei ausreichendem Aufwand der Fall ist.“ [they] hätte ausgenutzt werden können, um beliebigen Code auszuführen“, sagte Mozilla.
Google Android
Google hat seinen März veröffentlicht Android-Sicherheitsbulletinund behebt fast 40 Probleme in seinem mobilen Betriebssystem, darunter zwei kritische Fehler in seiner Systemkomponente. CVE-2024-0039 ist ein Fehler bei der Remote-Codeausführung, während es sich bei CVE-2024-23717 um eine Sicherheitslücke zur Erhöhung von Berechtigungen handelt.
„Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke in der Systemkomponente, die zur Remote-Codeausführung führen könnte, ohne dass zusätzliche Ausführungsrechte erforderlich sind“, sagte Google in seiner Empfehlung.