ハイテク巨人アップル、 Microsoft と Google はそれぞれ 4 月に重大なセキュリティ上の欠陥を修正しましたが、その多くはすでに実際の攻撃で使用されていました。 パッチを発行する他の企業には、プライバシー重視のブラウザー Firefox や、エンタープライズ ソフトウェア プロバイダーの SolarWinds や Oracle などがあります。
4 月にリリースされたパッチについて知っておくべきことはすべてここにあります。
りんご
すぐに熱くなる iOS 16.4、Apple は iOS 16.4.1 をリリースしました アップデート 攻撃ですでに使用されている 2 つの脆弱性を修正します。 CVE-2023-28206 これは IOSurfaceAccelerator の問題であり、アプリがカーネル権限でコードを実行できるようになる可能性があると、Apple はその サポートページ.
CVE-2023-28205 これは、Safari ブラウザーを強化するエンジンである WebKit の問題であり、任意のコードの実行につながる可能性があります。 どちらの場合も、iPhone メーカーは、「Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています」と述べています。
サイバーセキュリティ会社のセキュリティ研究者である Paul Ducklin 氏によると、このバグは、ブービー トラップされた Web サイトにアクセスすると、サイバー犯罪者がブラウザや、WebKit を使用して HTML コンテンツをレンダリングおよび表示するアプリを制御できることを意味します。 ソフォス.
iOS 16.4.1 で修正された 2 つの欠陥は、Google の Threat Analysis Group と Amnesty International の Security Lab によって報告されました。 このことを考慮して、Ducklin は、セキュリティ ホールがスパイウェアの埋め込みに使用された可能性があると考えています。
アップルも発売 iOS 15.7.5 古い iPhone のユーザーは、すでに悪用されている同じ欠陥を修正できます。 一方、iPhone メーカーは、macOS Ventura 13.3.1、Safari 16.4.1、macOS Monterey 12.6.5、および macOS Big Sur 11.7.6 を発行しました。
マイクロソフト
4 月に緊急パッチを発行した大手テック企業は Apple だけではありませんでした。 マイクロソフトはまた、今月のパッチ チューズデー アップデートの一部として、緊急の修正をリリースしました。 CVE-2023-28252 は、Windows 共通ログ ファイル システム ドライバーの特権の昇格に関するバグです。 攻撃者がこの脆弱性を悪用した場合、システム権限を取得できる可能性があると Microsoft は述べています。 勧告。
別の注目すべき欠陥である CVE-2023-21554 は、重大な影響があるとラベル付けされた Microsoft メッセージ キューのリモート コード実行の脆弱性です。 この脆弱性を悪用するには、攻撃者は悪意のある MSMQ パケットを MSMQ サーバーに送信する必要があると Microsoft は述べています。これにより、サーバー側でリモート コードが実行される可能性があります。
この修正は、98 の脆弱性に対する多数のパッチの一部であったため、アドバイザリを確認してできるだけ早く更新する価値があります。
グーグルアンドロイド
Google は Android オペレーティング システム用に複数のパッチを発行し、いくつかの重大な問題を修正しました。 最も深刻なバグは、システム コンポーネントの重大なセキュリティの脆弱性であり、追加の実行権限を必要とせずにリモートでコードが実行される可能性があると、Google はその中で述べています。 Android セキュリティ速報. 悪用にユーザーの操作は必要ありません。
パッチが適用された問題には、フレームワークに含まれる 10 件の問題が含まれており、そのうち 8 件は特権昇格の欠陥であり、その他の 9 件は深刻度が高いと評価されています。 Google は、2 つの重大な RCE の欠陥と、カーネルおよび SoC コンポーネントのいくつかの問題を含む、システムの 16 のバグを修正しました。
アップデートにはいくつかの ピクセル固有 これには、CVE-2023-0266 として追跡されているカーネルの特権昇格の欠陥が含まれます。 Android の 4 月のパッチは、Google のデバイスとモデルで利用できます 含む FoldおよびFlipシリーズと並ぶSamsungのGalaxy Sシリーズ。
グーグルクローム
4 月の初めに、Google は パッチ 人気のある Chrome ブラウザの 16 件の問題を修正するためのもので、そのうちのいくつかは深刻なものです。 パッチが適用された欠陥には、CVE-2023-1810 (影響が大きいと評価された Visuals のヒープ バッファ オーバーフローの問題) と CVE-2023-1811 (Frames の use-after-free 脆弱性) が含まれます。 残りの 14 のセキュリティ バグは、影響が中または低と評価されています。
月の半ば、Google は緊急アップデートの発行を余儀なくされました。今回は 2 つの欠陥を修正するもので、そのうちの 1 つは実際の攻撃ですでに使用されています。 CVE-2023-2033 V8 JavaScript エンジンの一種の混同欠陥です。 「Google は、CVE-2023-2033 のエクスプロイトが実際に存在することを認識しています」とソフトウェアの巨人は次のように述べています。 ブログ.
数日後、Google リリース 別のパッチは、CVE-2023-2136 として追跡されている別のゼロデイ欠陥 (Skia グラフィック エンジンの整数オーバーフロー バグ) を含む問題を修正します。