一方、Google の Project Zero の研究者は、18 のゼロデイ脆弱性を報告しています。 Exynos モデム サムスン製。 最も深刻な4つ—CVE-2023-24033、CVE-2023-26496、CVE-2023-26497、および CVE-2023-26498 — インターネットからベースバンドへのリモート コード実行を可能にする、と研究者は書いています。 ブログ. 「Project Zero が実施したテストでは、4 つの脆弱性により、攻撃者はベースバンド レベルで、ユーザーの介入なしにリモートで電話を侵害できることが確認されました。攻撃者は、被害者の電話番号を知っているだけで済みます」と彼らは書いています。
影響を受けるデバイスには、S22、M33、M13、M12、A71、A53、A33、A21s、A13、A12、および A04 シリーズのデバイスと、Google の Pixel 6 および Pixel 7 シリーズが含まれます。
パッチのタイムラインはメーカーによって異なりますが、影響を受ける Pixel デバイスは、インターネットからベースバンドへのリモート コード実行の重大な 4 つの脆弱性すべてに対する修正を受け取りました。 それまでの間、影響を受けるデバイスを使用しているユーザーは、デバイスの設定で Wi-Fi 通話と Voice-over-LTE (VoLTE) をオフにすることで自分自身を保護できる、と Google は述べています。
グーグルクローム
Google は人気のあるブラウザの Chrome 111 をリリースし、8 つのセキュリティ上の欠陥を修正しました。そのうちの 7 つは重大度が高いメモリの安全性に関するバグです。 4 つの解放後使用の脆弱性には、次のように追跡される重大度の高い問題が含まれます。 CVE-2023-1528 パスワードおよび CVE-2023-1529 で、WebHID の領域外メモリ アクセスの欠陥。
一方、CVE-2023-1530 は、英国の Web サイトによって報告された PDF の use-after-free バグです。 国家サイバーセキュリティセンター、および CVE-2023-1531 は、ANGLE における重大度の高い解放後使用の脆弱性です。
攻撃に使用されたことが Google によって知られている問題はありませんが、その影響を考えると、可能であれば Chrome を更新することは理にかなっています。
シスコ
エンタープライズ ソフトウェアの巨人 Cisco は、 公開された IOS および IOS XE ソフトウェア用の年 2 回のセキュリティ バンドルで、10 の脆弱性を修正します。 シスコが修正した 6 つの問題は、影響が大きいと評価されています。 CVE-2023-20080、サービス拒否の欠陥、CVE-2023-20065、権限昇格のバグ。
月の初めに、Cisco 修理済み 一部の Cisco IP Phone の Web ベースの管理インターフェイスに複数の脆弱性があり、認証されていないリモートの攻撃者が任意のコードを実行したり、サービス拒否を引き起こしたりする可能性があります。 CVSS スコアが 9.8 の場合、最も悪いのは CVE-2023-20078、Cisco IP 電話 6800、7800、および 8800 シリーズ マルチプラットフォーム電話の Web ベース管理インターフェイスの脆弱性。
攻撃者は、巧妙に細工されたリクエストを Web ベースの管理インターフェイスに送信することで、この脆弱性を悪用する可能性があるとシスコは述べ、「悪用に成功すると、攻撃者は影響を受けるデバイスの基盤となるオペレーティング システムで任意のコマンドを実行できるようになる可能性があります」と付け加えています。
ファイアフォックス
プライバシー意識の高い開発者 Mozilla は、 リリース Firefox 111 は 13 件の脆弱性を修正し、そのうち 7 件は影響が大きいと評価されています。 これらには、CVE-2023-25749 を含む Android 版 Firefox の 3 つの欠陥が含まれており、サードパーティ製アプリがプロンプトなしで開く可能性があります。
一方、2 つのメモリ安全バグ、CVE-2023-28176 および CVE-2023-28177 が Firefox 111 で修正されました。任意のコードを実行するために悪用されました」と Mozilla は述べています。
SAP
ソフトウェア メーカーの SAP にとって、今月も大きなアップデートの月です。 リリース 3 月のセキュリティ パッチ デイ ガイダンスに 19 の新しいセキュリティ ノート。 今月中に修正された問題には、CVSS スコアが 9 を超える 4 つの問題が含まれます。
これらの最悪の1つは、 CVE-2023-25616、SAP Business Objects Business Intelligence Platform のコード インジェクションの脆弱性。 中央管理コンソールのこの脆弱性により、攻撃者は、システムの整合性、機密性、および可用性に「強い悪影響」を与える任意のコードを挿入することができます。セキュリティ会社 Onapsis 言った.
最後に、CVSS スコア 9.9 で、 CVE-2023-23857 は、SAP NetWeaver AS for Java の不適切なアクセス制御のバグです。 「この脆弱性により、認証されていない攻撃者がオープン インターフェイスにアタッチし、オープン ネームおよびディレクトリ API を利用してサービスにアクセスできます」と Onapsis 氏は述べています。