Apple har nettopp rettet 37 iPhone-sikkerhetsfeil – oppdater iOS ASAP

Apple Security Bugs Patch Security GettyImages 946607422


juli har vært en måned med viktige oppdateringer, inkludert patcher for allerede utnyttede sårbarheter i Microsoft- og Google-produkter. Denne måneden så også den første Apple iOS-oppdateringen på åtte uker, og fikset dusinvis av sikkerhetsfeil i iPhones og iPads.

Sikkerhetssårbarheter fortsetter å ramme bedriftsprodukter også, med juli-oppdateringer utstedt for SAP, Cisco og Oracle-programvare. Her er det du trenger å vite om sårbarhetene som ble løst i juli.

Apple iOS 15.6

Apple har gitt ut iOS og iPadOS 15.6 for å fikse 37 sikkerhetsfeil, inkludert et drawback i Apple File System (APFS) sporet som CVE-2022-32832. Hvis det utnyttes, kan sårbarheten tillate en app å kjøre kode med kjerneprivilegier, ifølge Apples støtteside, og gi den dyp tilgang til enheten din.

Andre iOS 15.6-patcher fikser sårbarheter i kjernen og WebKit-nettlesermotoren, samt feil i IOMobileFrameBuffer, Audio, iCloud Photograph Library, ImageIO, Apple Neural Engine og GPU-drivere.

Apple er ikke klar over noen av de korrigerte feilene som brukes i angrep, males noen av sårbarhetene er ganske alvorlige – spesielt de som påvirker kjernen i hjertet av operativsystemet. Det er også mulig for sårbarheter å bli lenket sammen i angrep, så sørg for at du oppdaterer så snart som mulig.

iOS 15.6-oppdateringene ble utgitt sammen med watchOS 8.7, tvOS 15.6, macOS Monterey 12.5, macOS Massive Sur 11.6.8 og macOS Catalina 10.15.7 2022-005.

Google Chrome

Google ga ut en nødoppdatering for Chrome-nettleseren sin i juli, og løste hearth problemer, inkludert en null-dagers feil som allerede har blitt utnyttet. Sporet som CVE-2022-2294 og rapportert av Avast Risk Intelligence-forskere, ble minnekorrupsjonssårbarheten i WebRTC misbrukt for å oppnå kjøring av skallkode i Chromes gjengivelsesprosess.

Feilen ble brukt i målrettede angrep mot Avast-brukere i Midtøsten, inkludert journalister i Libanon, for å levere spionprogrammer kalt DevilsTongue.

Basert på skadelig programvare og taktikk som ble brukt for å utføre angrepet, tilskriver Avast bruken av Chrome zero-day til Candiru, et Israel-basert selskap som selger spy ware til myndigheter.

Microsofts Patch Tuesday

Microsofts July Patch Tuesday er en stor, og fikser 84 sikkerhetsproblemer, inkludert en feil som allerede brukes i virkelige angrep. Sårbarheten, CVE-2022-22047, er en lokal rettighetseskaleringsfeil i Home windows Consumer/Server Runtime Subsystem (CSRSS) server og klient Home windows-plattformer, inkludert de nyeste Home windows 11 og Home windows Server 2022-utgivelsene. En angriper som klarer å utnytte sikkerhetsproblemet kan få systemprivilegier, ifølge Microsoft.

Av de 84 problemene som ble rettet i Microsofts juli-patch tirsdag, var 52 privilegie-eskaleringsfeil, hearth var sikkerhetsfunksjons-omgåelsessårbarheter, og 12 var problemer med ekstern kjøring av kode.

Microsofts sikkerhetsoppdateringer forårsaker noen ganger andre problemer, og julioppdateringen var ikke annerledes: Etter utgivelsen fant noen brukere at MS Entry-runtime-applikasjoner ikke åpnet. Heldigvis ruller firmaet ut en løsning.

Android juli sikkerhetsbulletin

Google har gitt ut julioppdateringer for Android-operativsystemet, inkludert en løsning for en kritisk sikkerhetssårbarhet i systemkomponenten som kan føre til ekstern kjøring av kode uten behov for ytterligere rettigheter.

Google fikset også alvorlige problemer i kjernen – som kan føre til informasjonsavsløring – og rammeverket, som kan føre til eskalering av lokale rettigheter. I mellomtiden er leverandørspesifikke patcher fra MediaTek, Qualcomm og Unisoc tilgjengelig hvis enheten din bruker disse brikkene. Samsung-enheter begynner å motta juli-oppdateringen, og Google har også gitt ut oppdateringer for Pixel-serien.

SEVJE

Programvareprodusenten SAP har utstedt 27 nye og oppdaterte sikkerhetsmerknader som en del av sin sikkerhetsoppdateringsdag i juli, som fikser flere alvorlige sårbarheter. Sporet som CVE-2022-35228, er det mest alvorlige problemet en informasjonsavsløringsfeil i den sentrale administrasjonskonsollen til leverandørens Enterprise Objects-plattform.

Sårbarheten lar en uautentisert angriper få tokeninformasjon over nettverket, ifølge sikkerhetsfirmaet Onapsis. “Heldigvis ville et angrep som dette kreve en legitim bruker for å få tilgang til applikasjonen,” legger firmaet til. Det er imidlertid fortsatt viktig å lappe så snart som mulig.

Oracle

Oracle har utstedt 349 oppdateringer i sin kritiske oppdatering fra juli 2022, inkludert reparasjoner for 230 feil som kan utnyttes eksternt.

Oracles April Patch Replace inkluderte 520 sikkerhetsreparasjoner, hvorav noen adresserte CVE-2022-22965, aka Spring4Shell, en ekstern kodeutførelsesfeil i vårrammeverket. Oracles julioppdatering fortsetter å løse dette problemet.

admin

Leave a Reply

Your email address will not be published.