Wśród błędów naprawionych w ciągu miesiąca znalazło się kilka, które były wykorzystywane w rzeczywistych atakach, dlatego warto sprawdzić, czy oprogramowanie jest aktualne.

Oto wszystko, co musisz wiedzieć o aktualizacjach zabezpieczeń wydanych w tym miesiącu.

Apple iOS i iPadOS 16.3.1

Zaledwie kilka tygodni po wydaniu iOS 16.3 firma Apple wydała iOS i iPadOS 16.3.1 — awaryjną łatkę mającą na celu naprawienie luk w zabezpieczeniach, które obejmowały lukę w silniku przeglądarki WebKit, który był już używany w atakach.

Wykorzystywany już błąd, śledzony jako CVE-2023-23529, może doprowadzić do wykonania dowolnego kodu, ostrzegł Apple na swojej stronie pomocy technicznej. „Apple jest świadomy doniesień, że ten problem mógł być aktywnie wykorzystywany” — dodała firma. Kolejna luka załatana w iOS 16.3.1 znajduje się w jądrze w sercu systemu operacyjnego iPhone’a. Błąd, który jest śledzony jako CVE-2023-23514, może pozwolić atakującemu na wykonanie dowolnego kodu z uprawnieniami jądra.

Później w tym miesiącu Apple udokumentowało kolejną lukę naprawioną w iOS 16.3.1, CVE-2023-23524. Zgłoszone przez Dawid Beniamininżynier oprogramowania w Google, luka może umożliwić atak typu „odmowa usługi” za pomocą złośliwie spreparowanego certyfikatu.

W ciągu miesiąca Apple wypuściło także macOS Ventura 13.2.1, tvOS 16.3.2 i watchOS 9.3.1.

Microsoftu

W połowie lutego Microsoft ostrzegł, że jego Patch Tuesday naprawił 76 luk w zabezpieczeniach, z których trzy są już wykorzystywane w atakach. Siedem z tych błędów jest oznaczonych jako krytyczne, zgodnie z przewodnikiem aktualizacji Microsoftu.

Śledzony jako CVE-2023-21823, jeden z najpoważniejszych już wykorzystanych błędów w komponencie graficznym systemu Windows może pozwolić atakującemu na uzyskanie uprawnień systemowych.

Inna już wykorzystana luka, CVE-2023-21715, dotyczy problemu z obejściem funkcji w programie Microsoft Publisher, natomiast CVE-2023-23376 to luka umożliwiająca eskalację uprawnień w typowym sterowniku systemu plików dziennika systemu Windows.

To wiele błędów dnia zerowego naprawionych w jednej wersji, więc potraktuj to jako zachętę do jak najszybszej aktualizacji systemów opartych na Microsoft.

Google na Androida

Lutowa aktualizacja zabezpieczeń Androida jest już dostępna, naprawiając wiele luk w zabezpieczeniach urządzeń z oprogramowaniem smartfona giganta technologicznego. Najpoważniejszym z tych problemów jest luka w zabezpieczeniach komponentu Framework, która może prowadzić do lokalnej eskalacji uprawnień bez dodatkowych uprawnień, zauważył Google w poradniku.

Wśród kwestii określonych w Ramach osiem oceniono jako mające duży wpływ. W międzyczasie Google zmiażdżyło sześć błędów w jądrze, a także wady w komponentach System, MediaTek i Unisoc.

W ciągu miesiąca Google załatał wiele luk związanych z eskalacją uprawnień, a także luki w zabezpieczeniach związane z ujawnianiem informacji i odmową usługi. Firma wydała również poprawkę dotyczącą trzech problemów związanych z bezpieczeństwem Pixela. Lutowa łatka na Androida jest już dostępna dla urządzeń Google Pixel, a Samsung szybko ruszył z wydaniem aktualizacji użytkownikom serii Galaxy Note 20.

Google Chrome

Google wydał Chrome 110 dla swojej przeglądarki, naprawiając 15 luk w zabezpieczeniach, z których trzy zostały ocenione jako mające duży wpływ. Śledzony jako CVE-2023-0696, pierwszy z nich to błąd polegający na zamieszaniu typów w silniku JavaScript V8, Google napisał w poradniku bezpieczeństwa.

Tymczasem CVE-2023-0697 to luka, która umożliwia niewłaściwą implementację w trybie pełnoekranowym, a CVE-2023-0698 to luka odczytu poza zakresem w WebRTC. Cztery luki o średnim stopniu ważności obejmują użycie po zwolnieniu w GPU, błąd przepełnienia bufora sterty w interfejsie WebUI oraz lukę w zabezpieczeniach polegającą na pomyleniu typów w transferze danych. Dwie kolejne wady zostały ocenione jako mające niewielki wpływ.

W lutowej łatce Chrome nie ma żadnych znanych dni zerowych, ale nadal warto zaktualizować oprogramowanie Google tak szybko, jak to możliwe.

Firefoxa

Firefox, świadomy prywatności konkurent Mozilli, otrzymał w lutym łatkę, która naprawiła 10 błędów, które ocenił jako poważne. CVE-2023-25730 to przejęcie kontroli nad ekranem w trybie pełnoekranowym przeglądarki. „Skrypt działający w tle, wywołujący requestFullscreen, a następnie blokujący główny wątek, może zmusić przeglądarkę do przejścia w tryb pełnoekranowy na czas nieokreślony, powodując potencjalne zamieszanie użytkownika lub ataki polegające na fałszowaniu” — ostrzega Mozilla.

W międzyczasie programiści Mozilli naprawili kilka błędów bezpieczeństwa pamięci w Firefoksie 110. „Niektóre z tych błędów wskazywały na uszkodzenie pamięci i przypuszczamy, że przy wystarczającym wysiłku niektóre z nich mogły zostać wykorzystane do uruchomienia dowolnego kodu” – napisała Mozilla.

VMware

Producent oprogramowania dla przedsiębiorstw, firma VMWare, wydała poprawkę usuwającą lukę w zabezpieczeniach polegającą na wstrzykiwaniu, która ma wpływ na VMware Carbon Black App Control. Śledzona jako CVE-2023-20858, luka została oceniona jako krytyczna z maksymalną bazową oceną CVSSv3 9,1. „Złośliwy aktor z uprzywilejowanym dostępem do konsoli administracyjnej kontroli aplikacji może być w stanie użyć specjalnie spreparowanych danych wejściowych, umożliwiając dostęp do bazowego systemu operacyjnego serwera” — powiedział VMWare.

Kolejna poprawka VMware została wydana w celu naprawienia luki w zabezpieczeniach XML External Entity wpływającej na VMware vRealize Orchestrator, która może prowadzić do eskalacji uprawnień. Śledzona jako CVE-2023-20855, luka jest oceniana jako istotna, z maksymalnym bazowym wynikiem CVSSv3 na poziomie 8,8.

Citrix

Luty był pracowitym miesiącem dla Citrix, który wydał łatki naprawiające kilka poważnych luk w zabezpieczeniach. Problemy załatane w tym miesiącu obejmują CVE-2023-24483, wpływający na Citrix Virtual Apps and Desktops Windows VDA. „Zidentyfikowano lukę, której wykorzystanie może spowodować, że lokalny użytkownik podniesie swój poziom uprawnień do NT AUTHORITY\SYSTEM na Citrix Virtual Apps and Desktops Windows VDA”, ostrzegł Citrix w poradniku.

W międzyczasie Citrix zidentyfikował dwie luki, które razem mogą umożliwić standardowemu użytkownikowi Windows wykonywanie operacji jako System na komputerze z uruchomionym Citrix Workspace, śledzone jako CVE-2023-24484 i CVE-2023-24485.

Kolejna luka w zabezpieczeniach aplikacji Citrix Workspace dla systemu Linux, CVE-2023-24486, może umożliwić złośliwemu użytkownikowi lokalnemu uzyskanie dostępu do sesji Citrix Virtual Apps and Desktops innego użytkownika.

Jest rzeczą oczywistą, że jeśli jesteś użytkownikiem Citrix, pamiętaj o zastosowaniu poprawek w systemach, których dotyczy problem.

SOK ROŚLINNY

Firma SAP wydała 21 nowych uwag dotyczących bezpieczeństwa w ramach lutowego dnia poprawek, w tym pięć o wysokim priorytecie. Najpoważniejszą z nowo załatanych luk, śledzoną jako CVE-2023-24523, jest luka w zabezpieczeniach umożliwiająca eskalację uprawnień w SAP Start Service z wynikiem CVSS 8,8.

Wykorzystując ten problem, uwierzytelniony użytkownik niebędący administratorem z lokalnym dostępem do portu serwera przypisanego do usługi SAP Host Agent Service może przesłać specjalnie spreparowane żądanie usługi sieciowej z dowolnym poleceniem systemu operacyjnego, ostrzega firma bezpieczeństwa Onapsis. To polecenie jest wykonywane z uprawnieniami administratora i może mieć wpływ na poufność, integralność i dostępność systemu.

Dwie pozostałe uwagi o wysokim priorytecie dotyczą klientów SAP BusinessObjects, więc jeśli korzystasz z systemów firmy programistycznej, jak najszybciej uzyskaj poprawkę.