موسم العطلات أوشك على الانتهاء ، ولكن لا تزال تصحيحات الأمان مستمرة في الوصول بشكل كثيف وسريع في ديسمبر. شهد الشهر تحديثات أصدرتها Apple و Google و Microsoft ، بالإضافة إلى شركات برمجيات المؤسسات بما في ذلك SAP و Citrix و VMWare.
تعمل العديد من التصحيحات على إصلاح ثغرات يوم الصفر التي يتم استغلالها بالفعل في الهجمات ، مما يجعل من المهم تطبيقها في أسرع وقت ممكن. ها هي المعلومات الداخلية حول جميع التصحيحات التي تم إصدارها في ديسمبر.
Apple iOS و iPadOS 16.2 ، iOS 15.7.2 ، iOS 16.1.2
أصدرت Apple تحديثًا رئيسيًا لنظام التشغيل iOS 16 في ديسمبر: iOS 16.2. يأتي التحديث مزودًا بميزات تشمل التشفير من طرف إلى طرف في iCloud ، ولكنه يصلح أيضًا 35 نقطة ضعف أمنية.
لا يُعرف أن أيًا من المشكلات التي تم تصحيحها في iOS 16.2 قد تم استخدامها في الهجمات ؛ ومع ذلك ، فإن الكثير منها جاد جدًا. تشمل العيوب ستة في Kernel وتسعة في المحرك الذي يشغل متصفح Safari من Apple ، WebKit ، والذي قد يسمح للمهاجم بتنفيذ التعليمات البرمجية.
أصدرت Apple أيضًا نظام التشغيل iOS 15.7.2 لمستخدمي أجهزة iPhone الأقدم التي لا يمكنها تشغيل iOS 16 ، مما أدى إلى إصلاح الخلل المستخدم بالفعل في الهجمات. تم تتبع ثغرة WebKit باعتبارها CVE-2022-42856 ، وقد تسمح للمهاجم بتنفيذ التعليمات البرمجية ، وفقًا لصفحة دعم Apple. في نهاية شهر نوفمبر ، أصلحت Apple نفس عيب WebKit في iOS 16.1.2.
منذ إطلاق iOS 16 في سبتمبر ، تقدم Apple تحديثات أمنية لأولئك الذين لا يرغبون في الترقية إلى نظام التشغيل الجديد. لكن iOS 15.7.2 مخصص فقط لأجهزة iPhone الأقدم ، لذلك إذا كان لديك iPhone 8 أو أعلى ، فأنت بحاجة الآن إلى الترقية إلى iOS 16 للبقاء آمنًا.
أصدرت شركة iPhone أيضًا macOS Ventura 13.1 و watchOS 9.2 و tvOS 16.2 و macOS Big Sur 11.7.2 و macOS Monterey 12.6.2 و Safari 16.2.
جوجل أندرويد
كان شهر ديسمبر شهرًا ضخمًا لنظام التشغيل Android من Google ، مع إصلاحات لعشرات الثغرات الأمنية التي تم إصدارها خلال الشهر. قالت جوجل في نشرة أمنية إن أخطرها ، التي تم تتبعها كـ CVE-2022-20411 ، هي الثغرة الخطيرة في مكون النظام الإضافي الذي قد يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد عبر البلوتوث دون الحاجة إلى امتيازات التنفيذ.
أصلحت Google أيضًا عيبين هامين في مكون Android Framework ، CVE-2022-20472 و CVE-2022-20473. وفي الوقت نفسه ، تم تصحيح 151 خطأً خاصًا بالبكسل بواسطة Google في ديسمبر.
يتوفر التصحيح لشهر ديسمبر لأجهزة Pixel الخاصة بشركة Google بالإضافة إلى هواتف Samsung الذكية ، بما في ذلك مجموعة Galaxy الرئيسية الخاصة بصانع الأجهزة.
جوجل كروم 108
أصدرت Google تحديثًا طارئًا لمتصفح Chrome الخاص بها لإصلاح ثغرة يوم الصفر التاسعة لهذا العام. نظرًا لتعقبها كـ CVE-2022-4262 ، يمكن أن تسمح مشكلة ارتباك النوع شديدة الخطورة في محرك V8 JavaScript في Chrome لمهاجم بعيد باستغلال تلف الكومة عبر صفحة HTML مُعدّة. قال صانع المتصفح في مدونة: “تدرك Google أن استغلال CVE-2022-4262 موجود في البرية”.
وصل تحديث الطوارئ بعد أيام فقط من إصدار Google Chrome 108 ، حيث تم تصحيح 28 ثغرة أمنية. من بين الإصلاحات CVE-2022-4174 – وهو نوع من عيوب الارتباك في V8 – والعديد من الأخطاء التي لا تحتاج إلى استخدام. وفقًا لـ Google ، لم يتم استغلال أي من نقاط الضعف هذه في الهجمات. ولكن نظرًا لأن الخطأ الأخير في أيدي المهاجمين بالفعل ، فمن الجيد تحديث Chrome في أقرب وقت ممكن.
مايكروسوفت باتش الثلاثاء
كان تصحيح شهر ديسمبر من Microsoft حدثًا كبيرًا آخر ، حيث تم إصلاح 49 ثغرة أمنية ، بما في ذلك الثغرة المستخدمة في الهجمات. تم تتبع المشكلة باعتبارها CVE-2022-44698 ، وهي ميزة أمان Windows SmartScreen تتجاوز الثغرات الأمنية التي قد تؤدي إلى فقدان التكامل والتوافر.
قالت Microsoft: “يمكن للمهاجم إنشاء ملف ضار من شأنه التهرب من دفاعات Mark of the Web (MOTW) ، مما يؤدي إلى فقدان محدود للسلامة وتوافر ميزات الأمان مثل Protected View في Microsoft Office ، والتي تعتمد على علامات MOTW”.
اكتشاف المزيد من مباشر التقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
