Google, Apple i Microsoft vydávají důležité aktualizace. Opravují závažné bezpečnostní chyby

by | Pro 13, 2023 | Bezpečná domácnost, Bezpečná firma, Mobilní zařízení a sociální sítě, Nejnovější | 0 comments

Sezóna dovolených je tady, ale softwarové firmy stále pracují na vydávání oprav závažných bezpečnostních chyb. Společnosti Microsoft, Google a firma Atlassian, která se zabývá podnikovým softwarem, vydaly záplaty zranitelností, které již byly použity při útocích. Společnost Cisco také opravila chybu považovanou za tak závažnou, že jí bylo přiděleno téměř maximální skóre CVSS 9,9.

Google Chrome 

Společnost Google zakončila listopad razantně, když vydala sedm bezpečnostních oprav pro Chrome, včetně nouzové záplaty problému, který byl již použit při skutečných útocích. Tato již zneužívaná chyba, označená jako CVE-2023-6345, představuje integer overflow v open source 2D grafické knihovně Skia. “Google si je vědom, že ve někde existuje exploit pro CVE-2023-6345,” uvedl výrobce prohlížeče v poradním dokumentu.

V době psaní tohoto článku bylo o opravě známo jen málo, nicméně o ní informovali Benoît Sevens a Clément Lecigne ze skupiny pro analýzu hrozeb společnosti Google, což naznačuje, že by zneužití mohlo souviset se spywarem.

Mezi šest dalších chyb opravených společností Google a hodnocených jako chyby s vysokým dopadem patří CVE-2023-6348, chyba záměny typu v nástroji Spellcheck, a CVE-2023-6351, chyba use-after-free v nástroji libavif.

Začátkem měsíce společnost Google vydala opravy 15 bezpečnostních chyb ve svém široce používaném prohlížeči. Mezi chybami, které softwarový gigant opravil, jsou tři s vysokým stupněm závažnosti. První z nich, označená jako CVE-2023-5480, je problém s nevhodnou implementací v aplikaci Payments, zatímco druhá, CVE-2023-5482, je chyba nedostatečné validace dat v USB se skóre CVSS 8,8. Třetí chyba s vysokou závažností, CVE-2023-5849, je chyba přetečení celého čísla v USB.

Mozilla Firefox

Konkurent prohlížeče Chrome Firefox opravil 10 zranitelností, z nichž šest má vysoký dopad. CVE-2023-6204 je chyba v přístupu do paměti out-of-bound ve WebGL2 blitFramebuffer, zatímco CVE-2023-6205 je chyba use-after-free v MessagePort.

CVE-2023-6206 mezitím může umožnit zneužití výzev k získání oprávnění kliknutím pomocí přechodu na celou obrazovku. “Animace černého přechodu při opuštění celé obrazovky je zhruba stejně dlouhá jako zpoždění proti kliknutí na výzvy k získání oprávnění,” uvedl vlastník prohlížeče Firefox, společnost Mozilla. “Tuto skutečnost bylo možné využít k překvapení uživatelů tím, že je nalákáme ke kliknutí v místě, kde by se mělo objevit tlačítko pro udělení oprávnění.”

CVE-2023-6212 a CVE-2023-6212 jsou chyby v paměťové bezpečnosti, obě se skóre CVSS 8,8, ve Firefoxu 120, Firefoxu ESR 115.5 a Thunderbirdu 115.5. Tyto chyby se objevují v různých verzích prohlížeče.

Google Android

V listopadovém zprávě společnosti Google o zabezpečení systému Android jsou uvedeny podrobnosti o opravách provedených v tomto měsíci, včetně osmi oprav ve frameworku, z nichž šest jsou chyby se zvýšením oprávnění. Nejhorší chyba může vést k lokálnímu zvýšení oprávnění bez nutnosti dalších práv ke spuštění, uvedl Google v poradním dokumentu.

Google také opravil sedm chyb v Systému, z nichž šest je hodnoceno jako vysoce závažné a jedna je označena jako kritická. Chyba označená jako CVE-2023-40113, která je kritická, by mohla vést k místnímu vyzrazení informací bez nutnosti dalších práv ke spuštění. 

Zařízení Google Pixel již listopadovou aktualizaci spolu s některými dalšími opravami obdržela. Listopadový bulletin zabezpečení systému Android se začal šířit také na některé přístroje řady Galaxy společnosti Samsung.

Apple

Na konci listopadu vydala společnost Apple bezpečnostní aktualizaci iOS 17.1.2 určenou pouze pro iPhone, která opravuje dvě chyby využívané při reálných útocích. Obě chyby, označené jako CVE-2023-42916 a CVE-2023-42917, se nacházejí v enginu WebKit, který je základem prohlížeče Safari společnosti Apple. První chyba by v případě zneužití mohla vést k vyzrazení citlivých informací, zatímco druhá by mohla útočníkovi umožnit spuštění kódu, uvedla společnost Apple na své stránce podpory.

Apple uvedl, že obě chyby “mohly být zneužity proti verzím systému iOS před verzí iOS 16.7.1”, ale další podrobnosti neuvedl. Na problémy však upozornil Clément Lecigne ze skupiny Threat Analysis Group společnosti Google, která často odhaluje chyby používané k nasazení spywaru do zařízení.

Společnost Apple rovněž vydala systém macOS Sonoma 14.1.2, který oba problémy opravuje.

Microsoft

Společnost Microsoft má každý měsíc záplatovací úterý, ale to listopadové stojí za pozornost. Aktualizace opravuje 59 zranitelností, z nichž dvě jsou již zneužívány při reálných útocích. První z nich, označená jako CVE-2023-36033, je zranitelnost se zvýšením oprávnění v knihovně Windows DWM Core Library, označená jako důležitá, se skóre CVSS 7,8. Další zranitelnost je označena jako CVE-2023-36033. “Útočník, který by tuto zranitelnost úspěšně zneužil, by mohl získat oprávnění SYSTEM,” uvedl Microsoft.

Mezitím CVE-2023-36036 je zranitelnost zvýšení oprávnění v ovladači Windows Cloud Files Mini Filter Driver se skóre CVSS 7,8. V listopadovém aktualizačním cyklu je také opravena již dříve zneužívaná chyba libWep opravená v prohlížeči Chrome a dalších prohlížečích, která se týká také prohlížeče Microsoft Edge a je sledována jako CVE-2023-4863.

Další pozoruhodnou chybou je CVE-2023-36397, zranitelnost vzdáleného spuštění kódu v systému Windows Pragmatic General Multicast označená jako kritická se skóre CVSS 9,8. “Pokud je v prostředí PGM Serveru spuštěna služba fronty zpráv systému Windows, může útočník odesláním speciálně vytvořeného souboru po síti dosáhnout vzdáleného spuštění kódu a pokusit se spustit škodlivý kód,” uvedl Microsoft.

Cisco 

Společnost Cisco, která vyrábí podnikový software, vydala opravy 27 bezpečnostních chyb, včetně jedné hodnocené jako kritická s téměř maximálním skóre CVSS 9,9. Zranitelnost v rozhraní webových služeb softwaru Cisco Firepower Management Center Software, sledovaná jako CVE-2023-20048, mohla autentizovanému vzdálenému útočníkovi umožnit spuštění neautorizovaných konfiguračních příkazů na zařízení Firepower Threat Defense spravovaném softwarem FMC.

K úspěšnému zneužití zranitelnosti by však útočník potřeboval platné pověření v softwaru FMC, uvedla společnost Cisco.

Dalších sedm chyb opravených společností Cisco je hodnoceno jako chyby s vysokým dopadem, včetně CVE-2023-20086 – chyby typu odepření služby se skóre CVSS 8,6 a CVE-2023-20063, zranitelnosti typu code-injection se skóre CVSS 8,2.

Atlassian

Společnost Atlassian vydala záplatu, která opravuje závažnou chybu, jež se již používá při reálných útocích. Zranitelnost s nesprávnou autorizací v Confluence Data Center a Serveru, označená jako CVE-2023-22518, je využívána při útocích ransomwaru. “V rámci průběžného monitorování a vyšetřování této CVE společností Atlassian jsme zaznamenali několik aktivních zneužití a hlášení o aktérech hrozeb využívajících ransomware,” uvedla společnost. 

Bezpečnostní společnost Trend Micro oznámila, že tuto chybu při útocích využívá skupina ransomwaru Cerber. “Není to poprvé, co se Cerber zaměřil na společnost Atlassian – v roce 2021 se tento malware znovu objevil po období nečinnosti a zaměřil se na zneužití zranitelností vzdáleného spuštění kódu v serverech GitLab společnosti Atlassian,” uvedla společnost Trend Micro.

Chyba, která neověřenému útočníkovi umožňuje resetovat Confluence a vytvořit účet správce, se týká všech verzí Confluence Data Center a Server. “Pomocí tohoto účtu může útočník provádět všechny administrativní akce dostupné správci instance Confluence, což vede k úplné ztrátě důvěrnosti, integrity a dostupnosti,” uvedla společnost Atlassian. 

SAP

Podnikový softwarový gigant SAP vydal listopadový Den bezpečnostních záplat, který opravuje tři nové chyby. Nejzávažnějším problémem, který je sledován jako CVE-2023-31403 a má skóre CVSS 9,6, je chyba nesprávného řízení přístupu v systému SAP Business One. V důsledku zneužití této chyby mohl zlomyslný uživatel číst a zapisovat do sdílené složky SMB, uvedl softwarový gigant.

Jakub Drábek, redakce Cyberblog
Zdroj: The Hacker News
Foto: Bing
0 Comments
Submit a Comment
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.