Letnie aktualizacje oprogramowania nadchodzą szybko i gęsto, a Apple, Google i Microsoft wydają w czerwcu wiele łat dla poważnych luk w zabezpieczeniach. Firmy zajmujące się oprogramowaniem dla przedsiębiorstw również były zajęte, wydając poprawki do przerażających dziur w produktach VMWare, Cisco, Fortinet i Progress Software MOVEit.
Znaczna liczba błędów bezpieczeństwa wyeliminowanych w ciągu miesiąca jest wykorzystywana w rzeczywistych atakach, więc czytaj dalej, notuj i łataj systemy, których dotyczy problem, tak szybko, jak to możliwe.
Jabłko
Depcząc po piętach iOS 16.5, w czerwcu wydano awaryjną aktualizację iPhone’a, iOS 16.5.1. Najnowsza aktualizacja iPhone’a usuwa luki w zabezpieczeniach w WebKit, silniku, który stanowi podstawę Safari, oraz w jądrze będącym sercem systemu iOS.
Oba problemy, śledzone jako CVE-2023-32439 i CVE-2023-32434, są błędami w wykonywaniu kodu i były wykorzystywane w rzeczywistych atakach, powiedział Apple na swojej stronie pomocy technicznej.
Chociaż szczegóły dotyczące już wykorzystanych luk są ograniczone, firma Kaspersky zapewnia bezpieczeństwo ujawnił w jaki sposób problem z jądrem został wykorzystany do przeprowadzenia ataków „iOS Triangulation” na personel. Ataki „zero kliknięć” mają wpływ, ponieważ nie wymagają interakcji ze strony użytkownika, wykorzystują niewidoczny iMessage ze złośliwym załącznikiem do dostarczania oprogramowania szpiegującego.
Firma Apple wydała również iOS 15.7.7 dla starszych iPhone’ów, naprawiając problemy z jądrem i WebKit, a także drugą lukę WebKit śledzoną jako CVE-2023-32435 — która została również zgłoszona przez Kaspersky jako część ataków Triangulation na iOS.
Tymczasem Apple wypuścił Safari 16.5.1, macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, watchOS 9.5.2 i watchOS 8.8.1.
Microsoftu
Wtorkowa poprawka Microsoftu z połowy czerwca zawiera aktualizacje zabezpieczeń dla 78 luk w zabezpieczeniach, w tym 28 błędów zdalnego wykonywania kodu (RCE). Chociaż niektóre problemy są poważne, jest to pierwszy Patch Tuesday od marca, który nie zawiera żadnych już wykorzystanych błędów.
Krytyczne problemy załatane w czerwcowej aktualizacji obejmują CVE-2023-29357, lukę umożliwiającą podniesienie uprawnień w programie Microsoft SharePoint Server z wynikiem CVSS 9,8. „Atakujący, który uzyskał dostęp do sfałszowanych tokenów uwierzytelniających JWT, może ich użyć do przeprowadzenia ataku sieciowego, który omija uwierzytelnianie i pozwala mu uzyskać dostęp do uprawnień uwierzytelnionego użytkownika” — powiedział Microsoft.
„Atakujący nie potrzebuje żadnych uprawnień, a użytkownik nie musi wykonywać żadnych działań” – dodano.
Tymczasem CVE-2023-32031 i CVE-2023-28310 to luki w zabezpieczeniach Microsoft Exchange Server umożliwiające zdalne wykonanie kodu, które wymagają uwierzytelnienia osoby atakującej w celu wykorzystania.
Google na Androida
Nadszedł czas, aby zaktualizować urządzenie Google Android, ponieważ gigant technologiczny opublikował swój czerwcowy biuletyn bezpieczeństwa. Najpoważniejszym problemem naprawionym przez Google jest krytyczna luka w zabezpieczeniach komponentu System, śledzona jako CVE-2023-21108, która może prowadzić do RCE przez Bluetooth bez dodatkowych uprawnień do wykonywania. Kolejną luką w systemie śledzoną jako CVE-2023-21130 jest błąd RCE również oznaczony jako krytyczny.
Jedną z luk załatanych w czerwcowej aktualizacji jest CVE-2022-22706, luka w komponentach ARM, którą producent chipów naprawił w 2022 roku po tym, jak była już używana w atakach.
