Poprawki błędów w tym tygodniu | Naprawiono luki w produktach Apple, Microsoft, Google i Samsung
CERT-In opublikował informacje o lukach w oprogramowaniu Microsoft, Google, Apple i Samsung. | Źródło zdjęcia: Reuters
Indyjski zespół reagowania na awarie komputerowe (CERT-In) opublikował informacje o lukach w zabezpieczeniach powszechnie używanego oprogramowania, szczegółowo opisując błędy w zabezpieczeniach, które mogą zostać wykorzystane przez cyberprzestępców do naruszenia bezpieczeństwa systemów, których dotyczy problem. W ciągu tygodnia opublikowano informacje o lukach w oprogramowaniu firm Microsoft, Google, Apple i Samsung.
(Aby uzyskać informacje na temat pojawiających się tematów na styku technologii, biznesu i polityki, zasubskrybuj nasz biuletyn techniczny Today’s Cache).
Apple iOS
Błąd bezpieczeństwa, który mógł pozwolić atakującym na wykonanie dowolnego kodu na docelowych urządzeniach, został wykryty w wersjach Apple wpływających na iOS przed iOS 15.1.
Odkryto, że luka ta istnieje z powodu błędu wprowadzającego w błąd w komponencie WebKit i może zostać wykorzystana do nakłonienia ofiar do odwiedzenia złośliwie spreparowanej witryny internetowej. Firma Apple wydała aktualizację naprawiającą lukę i zaleciła użytkownikom aktualizację oprogramowania, ponieważ luka była aktywnie wykorzystywana w środowisku naturalnym.
Błąd bezpieczeństwa dotyczył oprogramowania iPhone’ów, iPadów i iPodów touch.
Microsoft Edge (oparty na Chromie)
Zgłoszono wiele poważnych błędów bezpieczeństwa w przeglądarce Microsoft Edge (opartej na Chromium).
Luki w zabezpieczeniach mogą zostać wykorzystane przez zdalnych cyberprzestępców w celu uzyskania podwyższonych uprawnień i obejścia ograniczeń bezpieczeństwa w docelowych systemach poprzez ucieczkę z piaskownicy przeglądarki, która jest używana do uruchamiania aplikacji internetowych w izolacji, aby zapewnić, że złośliwe oprogramowanie nie będzie w stanie zainfekować innych obszarów systemu.
Firma Microsoft wydała aktualizacje naprawiające błędy bezpieczeństwa, które można wykorzystać, zachęcając użytkowników do kliknięcia złośliwie spreparowanego adresu URL.
Google Chrome
W wersjach przeglądarki Google Chrome dla systemów Windows i Linux wykryto poważne błędy bezpieczeństwa. Błędy mogą zostać wykorzystane przez zdalnych cyberprzestępców do wykonania dowolnego kodu, naruszenia bezpieczeństwa systemu i uzyskania podwyższonych uprawnień.
Stwierdzono, że błędy istnieją z powodu błędów w użyciu po zwolnieniu w WebTransport i błędzie Type Confusion w Serviceworker API.
Aktorzy zagrażający mogli wykorzystać błąd, nakłaniając użytkowników Chrome do odwiedzenia złośliwie spreparowanych stron internetowych. Cyberprzestępcy mogą również wykorzystać lukę w zabezpieczeniach, aby uzyskać dostęp do poufnych informacji w atakowanych systemach.
Firma Google wprowadziła stabilną aktualizację kanału dla użytkowników komputerów stacjonarnych, która zostanie wprowadzona w nadchodzących dniach, firma udostępniła w poście na blogu.
Aplikacja Samsung Galaxy Store
W aplikacji Samsung Galaxy Store zgłoszono wiele luk o wysokim stopniu ważności, które mogą zostać wykorzystane przez atakujących do zainstalowania niechcianych aplikacji i wykonania dowolnego kodu na docelowych urządzeniach.
Stwierdzono, że błędy bezpieczeństwa występowały z powodu działania przepływu, które nie obsługiwało poleceń przychodzących w bezpieczny sposób, oraz z powodu nieprawidłowo skonfigurowanego filtra w przeglądarce internetowej.
Luki mogą być wykorzystywane przez cyberprzestępców poprzez wysyłanie specjalnie spreparowanych żądań lub zachęcanie użytkowników do kliknięcia złośliwych hiperłączy w przeglądarce Google Chrome lub wstępnie zainstalowanych fałszywych aplikacji.
Pomyślne wykorzystanie błędów może umożliwić atakującym zainstalowanie złośliwych aplikacji na urządzeniach użytkowników bez ich wiedzy lub wykonanie dowolnych kodów, zagrażając w ten sposób bezpieczeństwu zagrożonych urządzeń.
Firma Samsung wydała zaktualizowaną wersję aplikacji Galaxy Store, a użytkownikom zaleca się zainstalowanie najnowszej wersji, aby uniknąć nadużyć.