فناوری، امنیت سایبری

همین حالا کروم، ویندوز و زوم خود را به روزرسانی کنید

ارسال شده در تاریخ توسط صمد کردی
به‌روزرسانی های امنیتی در ماه اکتبر به‌طور کامل و سریع با وصله‌های امنیتی برای اپل برای iOS، Google Chrome، Android، منتشر شدند و البته مایکروسافت هم به صورت روتین پچ های امنیتی را سه شنبه هاو ماهی یک بار منتشر میکند .

به‌ روزرسانی های امنیتی در ماه اکتبر به‌طور کامل و سریع با وصله‌های امنیتی برای اپل برای iOS، Google Chrome، Android، منتشر شدند و البته مایکروسافت هم به صورت روتین پچ های امنیتی را سه شنبه هاو ماهی یک بار منتشر میکند .

به گزارش تکناک، این به روز رسانی ها علاوه بر به روزرسانی هایی است که برای رفع مشکلات در محصولات Zoom، Cisco، VMWare و SAP ارایه شده است.
در اینجا جزئیات مربوط به تمام وصله های مهم صادر شده در ماه اکتبر آمده است.

iOS 16.1 و iPadOS 16
ماه اکتبر شاهد انتشار دو نسخه iOS 16 پس از راه اندازی سیستم عامل به روز شده سازنده آیفون در ماه سپتامبر بود. ابتدا iOS 16.0.3 آمد، که برخی از مشکلات را برطرف کرد، از جمله چندین باگ و همچنین یک نقص امنیتی در Mail که می‌توانست منجر به حملاتی از سوی هکر ها شود
تنها چند هفته بعد، اپل iOS 16.1 و iPadOS 16 را منتشر کرد – که دومی همزمان با عرضه آخرین مدل های iPad به تعویق افتاد. آخرین نسخه‌های iOS با فهرست بسیار طولانی‌تری از رفع نقص های امنیتی همراه هستند و شامل نقص هایی هستند که قبلاً مورد سوء استفاده هکرها قرار گرفته‌اند.
طبق صفحه پشتیبانی اپل، آسیب‌پذیری کرنل که به‌عنوان CVE-2022-42827 ردیابی می‌شود، می‌تواند به برنامه اجازه دهد تا کدی را با امتیازات کرنل اجرا کند. به روز رسانی سیستم عامل در مجموع 20 آسیب پذیری را برطرف می کند، از جمله سه آسیب پذیری در کرنل در قلب سیستم عامل آیفون. در همین حال، iOS 16.1 چهار نقص در WebKit، موتوری که مرورگر سافاری را تامین می‌کند، برطرف می‌کند، که دو مورد از آنها در صورت سوء استفاده می‌توانند منجر به اجرای کد مخرب شوند.
اپل همچنین iOS 15.7.1 و iPadOS 15.7.1 را منتشر کرده است که نقص هسته قبلاً مورد سوء استفاده قرار گرفته را برطرف می کند.
با توجه به جدی بودن مشکلات و عدم ارائه جزئیات، ایده خوبی است که در اسرع وقت به iOS 16.1 یا iOS 15.7.1 به روز رسانی کنید.

پچ سه شنبه مایکروسافت
پچ سه‌شنبه بار دیگر همراه با فهرست اصلاحات نسبتاً سنگینی از 84 نقص وارد شده است. از این تعداد، 13 مورد به عنوان بحرانی رتبه بندی شده اند و یکی در حملات استفاده می شود. با ردیابی CVE-2022-41033، افزایش آسیب پذیری در سرویس سیستم Windows COM Event System تقریباً بر هر نسخه از ویندوز تأثیر می گذارد. این نقص جدی است، زیرا می‌تواند با سوءاستفاده‌های دیگر برای تسلط بر کامپیوتر ها شخصی مورد استفاده قرار بگیرد.
راه‌حلی برای رفع دو باگ فعال به‌عنوان CVE-2022-41040 و CVE-2022-41082، معروف به ProxyNotShell به‌طور قابل‌توجهی در به‌روزرسانی‌های Patch Tuesday وجود نداشت. این نقص ها توسط شرکت امنیتی GTSC به مایکروسافت گزارش شده است. مایکروسافت را ه حل هایی را به اشتراک گذاشته است، اما محققان هشدار می دهند که می توان آنها را دور زد.

گوگل کروم
اکتبر شاهد یک به‌ روزرسانی  امنیتی اضطراری دیگر برای کاربران Google Chrome بود، که گوگل بسته امنیتی را برای باگ type confusion flaw در جاوا اسکریپت V8 که به‌عنوان CVE-2022-3723 ردیابی شده بود، صادر کرد. این مشکل در عرض چند روز پس از گزارش توسط محققان Avast اصلاح شد، که نشان‌دهنده جدی بودن آن است.این نقص می‌تواند برای اجرای کد و به دست آوردن کنترل سیستم مورد سوء استفاده قرار گیرد. گوگل اعلام کرد که از گزارش‌هایی مبنی بر وجود یک حفره امنیتی در CVE-2022-3723 آگاه است.
در اوایل ماه جاری، گوگل کروم 106 را منتشر کرد و با این به‌ روزرسانی های امنیتی شش نقص امنیتی با شدت بالا را اصلاح کرد. نقص‌های قابل توجه عبارتند از CVE-2022-3445، یک باگ در Skia، کتابخانه گرافیکی دوبعدی منبع باز که به عنوان موتور گرافیکی Google Chrome عمل می‌کند.
گوگل در وبلاگ خود نوشت، مشکلات دیگری که در ماه اکتبر برطرف شد عبارتند از یک سرریز بافر پشته در WebSQL که به عنوان CVE-2022-3446 ردیابی می شود و یک اشکال در Permissions API که به عنوان CVE-2022-3448 ردیابی می شود. گوگل همچنین دو باگ را در Safe Browsing و Peer Connection برطرف کرد.

گوگل اندروید
بولتن به‌ روزرسانی های امنیتی اندروید برای ماه اکتبر شامل رفع 15 نقص در Frame Work و سیستم و 33 مشکل در اجزای هسته است. یکی از نگران‌کننده‌ترین مسائل، یک آسیب‌پذیری امنیتی حیاتی در مؤلفه Framework است که می‌تواند منجر به تشدید امتیاز محلی شود، که تحت عنوان CVE-2022-20419 دنبال می‌شود. در همین حال، یک نقص در هسته همچنین می تواند منجر به تشدید دسترسی محلی بدون نیاز به دسترسی های اجرایی اضافی شود.
از هیچ یک از این نقاط در حملات استفاده نشده است، اما هنوز منطقی است که دستگاه خود را بررسی کنید و در صورت امکان آن را به روز کنید. گوگل این به‌روزرسانی را برای دستگاه‌های پیکسل خود منتشر کرده است . این به ربه‌ روزرسانی های امنیتی  همچنین برای گوشی‌های سری گلکسی S21 و S22 سامسونگ و گلکسی S21 FE در دسترس است.

سیسکو
سیسکو از پس از تأیید استفاده از آسیب‌پذیری‌ها در حملات از دو نقص امنیتی در AnyConnect Secure Mobility Client از شرکت‌ها خواسته است تا این نقاط ضعف را در ویندوز اصلاح کنند. با ردیابی CVE-2020-3433، اولین مورد می‌تواند به هکری با اعتبارنامه‌های معتبر در ویندوز اجازه دهد تا کد را روی دستگاه آسیب‌دیده با امتیازات سیستم اجرا کند.
در همین حال، CVE-2020-3153 می تواند به یک مهاجم با اعتبارنامه معتبر ویندوز اجازه دهد تا فایل های مخرب را در مکان های دلخواه با امتیازات سطح سیستم کپی کند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده ایرادات سیسکو را به فهرست آسیب‌پذیری‌های خود اضافه کرده است.
در حالی که هر دو نقص سیسکو نیاز به احراز هویت مهاجم دارند، هنوز هم مهم است که این نقاط ضعف با به‌روزرسانی رفع شوند.

Zoom
سرویس کنفرانس ویدیویی Zoom در ماه اکتبر چندین مشکل را ، از جمله نقصی در نرم کلاینت Zoom برای برگزاری جلسات، که با امتیاز CVSS 8.8 مشخص شده است اصلاح کرد. زوم می گوید نسخه های قبل از نسخه 5.12.2 مستعد آسیب پذیری URL-parsing هستند و به عنوان CVE-2022-28763 ردیابی می شود.
Zoom در یک بولتن امنیتی گفت: اگر یک URL ملاقات مخرب زوم باز شود، این پیوند ممکن است کاربر را به اتصال به یک آدرس شبکه دلخواه هدایت کند که منجر به حملات اضافی از جمله تصاحب جلسات شود.
در اوایل ماه، Zoom به کاربران هشدار داد که مشتری خود برای جلسات برای macOS که با نسخه 5.10.6 و قبل از نسخه 5.12.0 شروع می شود، دارای پیکربندی اشتباه پورت اشکال زدایی است

مطالب مرتبط:
صمد کردی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اخبار جدید تک‌ناک را از دست ندهید.