11 月に見た 複数のセキュリティ脆弱性を修正するために、Apple の iOS、Google Chrome、Firefox、Microsoft Windows などからのパッチのリリース。 これらの問題のいくつかは非常に深刻で、いくつかはすでに攻撃者によって悪用されています。
過去 1 か月にリリースされたすべての重要な更新について知っておく必要があることを次に示します。
Apple iOS および iPadOS 16.1.1
Apple は、iOS および iPadOS 16.1.1 をリリースしました。iPhone メーカーは、すべてのユーザーに適用することを推奨しています。 このパッチは 2 つのセキュリティ上の脆弱性を修正します。リリースの速さを考えると、それらはかなり深刻なものであると推測できます。
として追跡 CVE-2022-40303 と CVE-2022-40304Apple によると、libxml2 ソフトウェア ライブラリの 2 つの欠陥により、攻撃者がリモートでコードを実行できる可能性があります。 サポートページ. 問題は両方とも、Google の Project Zero で働くセキュリティ研究者によって報告されました。
Mac ユーザーの場合、この欠陥は次の方法で対処されました。 macOS ベンチュラ 13.0.1.
幸いなことに、どちらの脆弱性も攻撃者によって悪用されていないと考えられていますが、更新プログラムをできるだけ早く適用することをお勧めします。
マイクロソフトウィンドウズ
マイクロソフトの 11 月のパッチの火曜日 Windows メーカーが 68 の脆弱性を修正したのを見て、もう 1 つの大きなリリースでした。 そのうちの4つ ゼロ日でした。
として追跡 CVE-2022-410731 つ目は、Windows 印刷スプーラーの権限昇格の脆弱性で、サイバー犯罪者がシステム権限を取得できる可能性があります。 一方、CVE-2022-41125 は Windows Cryptographic Next Generation キー分離の問題であり、敵対者が特権をエスカレートしてシステムの制御を取得する可能性があります。 CVE-2022-41128 は、リモートでコードが実行される可能性がある Windows スクリプト言語の脆弱性です。 最後に、 CVE-2022-41091 Microsoft の Mark of the Web セキュリティ機能の脆弱性です。
グーグルアンドロイド
Google の Android デバイスのユーザー向けのさらに大きなアップデートが 11 月に到着しました。 パッチの発行 複数の脆弱性に対応しており、そのうちのいくつかは深刻です。 リストの一番上にあるのは、Framework コンポーネントの重大度の高い脆弱性であり、ローカルでの権限昇格につながる可能性があると、Google はセキュリティ アドバイザリで述べています。
11 月のパッチには、Media Framework コンポーネント (CVE-2022-2209) と WiFi (CVE-2022-20463) に影響する問題に対する 2 つの Google Play システム アップデートが含まれています。 グーグルも 修繕 Pixel デバイスに影響する 5 つの問題。
Android のアップデートは、第 3 世代および第 4 世代の Galaxy 折りたたみ式デバイスを含む Samsung デバイスに展開され始めています。 設定で更新を確認できます。
グーグルクローム
世界で最も人気のあるブラウザは、引き続き 主なターゲット Google は今月、 第8 今年のゼロデイ脆弱性。
として追跡される脆弱性 CVE-2022-4135は、Google 独自の脅威分析グループの研究者である Clement Lecigne によって報告された GPU のヒープ バッファ オーバーフローです。 グーグル 言った 「CVE-2022-4135 のエクスプロイトが実際に存在することを認識しています」。
今月初め、Google 発行済み 10 件の Chrome の脆弱性を修正するアップデートで、そのうち 6 件は深刻度が高いと評価されています。 これらには、CVE-2022-3885、CVE-2022-3886、CVE-2022-3887、および CVE-2022-3888 の 4 つの use-after-free バグが含まれます。 一方、CVE-2022-3889 は V8 の「タイプの混乱」の問題であり、CVE-2022-3890 は Crashpad のヒープ バッファ オーバーフローです。
モジラ ファイアフォックス
11 月は、Google Chrome のライバルである Firefox にとって重要な月でもありました。 Mozilla は 発行済み Firefox 107 では 19 のセキュリティ脆弱性が修正され、そのうち 8 つは影響が大きいとマークされています。
最も重要なパッチの 1 つは、 CVE-2022-45404これは、攻撃者がユーザーに通知プロンプトを表示せずにウィンドウを全画面表示にすることを可能にする全画面通知バイパスです。 これにより、スプーフィング攻撃が発生する可能性があります。 一方、解放後使用のバグがいくつか悪用可能なクラッシュにつながる可能性があり、1 つの欠陥が悪用されて任意のコードが実行される可能性があります。
VMウェア
ソフトウェア メーカーの VMWare は、VMware Workspace ONE Assist の複数のセキュリティ脆弱性に対するセキュリティ フィックスをリリースしました。そのうち 3 つの CVSSv3 ベース スコアは 9.8 です。 最初、 CVE-2022-31685、認証バイパスの脆弱性です。 「Workspace ONE Assist へのネットワーク アクセスを持つ悪意のあるアクターは、アプリケーションへの認証を必要とせずに管理アクセスを取得できる可能性があります」と VMWare は警告しています。 勧告.
CVE-2022-31686 として追跡されている壊れた認証方法の脆弱性により、ネットワーク アクセスを持つ悪意のあるアクターが、認証を必要とせずに管理者アクセスを取得できる可能性があります。