Apple heeft zojuist 37 iPhone-beveiligingsbugs gepatcht – iOS zo snel mogelijk bijwerken

juli is geweest een maand aan belangrijke updates, waaronder patches voor reeds uitgebuite kwetsbaarheden in Microsoft- en Google-producten. Deze maand vond ook de eerste Apple iOS-update in acht weken plaats, waarmee tientallen beveiligingsfouten in iPhones en iPads werden verholpen.

Beveiligingskwetsbaarheden blijven ook bedrijfsproducten treffen, met juli-patches die zijn uitgegeven voor SAP-, Cisco- en Oracle-software. Dit is wat u moet weten over de kwetsbaarheden die in juli zijn verholpen.

Apple iOS 15.6

Apple heeft iOS en iPadOS 15.6 uitgebracht om 37 beveiligingsfouten te verhelpen, waaronder een probleem in Apple File System (APFS) dat wordt bijgehouden als CVE-2022-32832. Indien misbruikt, kan de kwetsbaarheid een app in staat stellen code uit te voeren met kernelrechten, volgens de ondersteuningspagina van Apple, waardoor het diepe toegang tot uw apparaat krijgt.

Andere iOS 15.6-patches repareren kwetsbaarheden in de kernel en WebKit-browserengine, evenals fouten in IOMobileFrameBuffer, Audio, iCloud-fotobibliotheek, ImageIO, Apple Neural Engine en GPU-stuurprogramma’s.

Apple is niet op de hoogte van de gepatchte fouten die worden gebruikt bij aanvallen, maar sommige kwetsbaarheden zijn behoorlijk ernstig, vooral die de kernel in het hart van het besturingssysteem aantasten. Het is ook mogelijk dat kwetsbaarheden aan elkaar worden geketend in aanvallen, dus zorg ervoor dat u zo snel mogelijk bijwerkt.

De iOS 15.6-patches zijn uitgebracht naast watchOS 8.7, tvOS 15.6, macOS Monterey 12.5, macOS Big Sur 11.6.8 en macOS Catalina 10.15.7 2022-005.

Google Chrome

Google heeft in juli een noodpatch voor zijn Chrome-browser uitgebracht, waarmee vier problemen zijn opgelost, waaronder een zero-day-fout die al is uitgebuit. Bijgehouden als CVE-2022-2294 en gerapporteerd door Avast Threat Intelligence-onderzoekers, werd de kwetsbaarheid voor geheugenbeschadiging in WebRTC misbruikt om shellcode-uitvoering in het renderproces van Chrome te bewerkstelligen.

De fout werd gebruikt bij gerichte aanvallen op Avast-gebruikers in het Midden-Oosten, inclusief in Libanon, om spyware genaamd DevilsTongue te leveren.

Op basis van de malware en tactieken die zijn gebruikt om de aanval uit te voeren, schrijft Avast het gebruik van Chrome zero-day toe aan Candiru, een in Israël gevestigd bedrijf dat spyware verkoopt aan overheden.

Microsoft’s patch dinsdag

De patch-dinsdag van Microsoft in juli is een grote en lost 84 beveiligingsproblemen op, waaronder een fout die al wordt gebruikt bij aanvallen in de echte wereld. Het beveiligingslek, CVE-2022-22047, is een lokale escalatiefout in de Windows Client/Server Runtime Subsystem (CSRSS)-server en client Windows-platforms, inclusief de nieuwste releases van Windows 11 en Windows Server 2022. Een aanvaller die het beveiligingslek weet te misbruiken, kan volgens Microsoft systeemrechten krijgen.

Van de 84 problemen die zijn verholpen in Microsofts juli Patch Tuesday, waren er 52 fouten in de escalatie van bevoegdheden, vier problemen met het omzeilen van beveiligingsfuncties en 12 problemen met het uitvoeren van externe code.

Microsoft-beveiligingspatches veroorzaken soms andere problemen, en de update van juli was niet anders: na de release ontdekten sommige gebruikers dat MS Access-runtime-applicaties niet konden worden geopend. Gelukkig komt het bedrijf met een oplossing.

Android juli-beveiligingsbulletin

Google heeft juli-updates uitgebracht voor zijn Android-besturingssysteem, inclusief een oplossing voor een kritiek beveiligingsprobleem in de systeemcomponent dat zou kunnen leiden tot uitvoering van externe code zonder dat extra privileges nodig zijn.

Google loste ook ernstige problemen op in de kernel – die kunnen leiden tot het vrijgeven van informatie – en het raamwerk, wat kan leiden tot lokale escalatie van bevoegdheden. Ondertussen zijn leverancierspecifieke patches van MediaTek, Qualcomm en Unisoc beschikbaar als uw apparaat die chips gebruikt. Samsung-apparaten beginnen de patch van juli te ontvangen en Google heeft ook updates uitgebracht voor zijn Pixel-assortiment.

SAP

Softwaremaker SAP heeft 27 nieuwe en bijgewerkte beveiligingsnotities uitgegeven als onderdeel van de Security Patch Day van juli, waarmee meerdere zeer ernstige kwetsbaarheden zijn verholpen. Bijgehouden als CVE-2022-35228, is het ernstigste probleem een ​​fout in het vrijgeven van informatie in de centrale beheerconsole van het Business Objects-platform van de leverancier.

De kwetsbaarheid stelt een niet-geverifieerde aanvaller in staat tokeninformatie via het netwerk te verkrijgen, aldus beveiligingsbedrijf Onapsis. “Gelukkig vereist een aanval als deze een legitieme gebruiker om toegang te krijgen tot de applicatie”, voegt het bedrijf toe. Het is echter nog steeds belangrijk om zo snel mogelijk te patchen.

Orakel

Oracle heeft 349 patches uitgegeven in de Critical Patch Update van juli 2022, inclusief fixes voor 230 fouten die op afstand kunnen worden misbruikt.

Oracle’s patch-update van april bevatte 520 beveiligingsreparaties, waarvan sommige CVE-2022-22965, ook bekend als Spring4Shell, een fout in de uitvoering van externe code in het Spring-framework hadden aangepakt. De update van juli van Oracle blijft dit probleem oplossen.

.

Leave a Comment