假日季即将结束,但安全补丁仍在12月陆续到来。本月,苹果、谷歌和微软以及SAP、思杰和VMWare等企业软件公司都发布了更新。
许多补丁修复了已经在攻击中被利用的零日漏洞,因此尽快应用这些补丁非常重要。以下是12月发布的所有补丁的内幕。
苹果iOS和iPadOS 16.2, iOS 15.7.2, iOS 16.1.2去年12月,苹果公司发布了iOS 16操作系统的重大升级:iOS 16.2。这次更新的功能包括iCloud的端到端加密,但它也修复了35个安全漏洞。
据了解,iOS 16.2中补丁的所有问题都没有被用于攻击;然而,许多人是相当严肃的。这些漏洞包括6个存在于内核,9个存在于支持苹果Safari浏览器WebKit的引擎,这些漏洞可能会让攻击者执行代码。
苹果还针对无法运行iOS 16的旧款iphone用户发布了iOS 15.7.2,修复了一个已经被用于攻击的漏洞。根据苹果公司的支持页面,这个WebKit漏洞被追踪为CVE-2022-42856,攻击者可以执行代码。11月底,苹果在iOS 16.1.2中修复了同样的WebKit漏洞。
自去年9月iOS 16发布以来,苹果一直在为那些不想升级到新操作系统的用户提供安全更新。但iOS 15.7.2仅适用于较旧的iPhone,所以如果你的iPhone 8或更高版本,你现在需要升级到iOS 16以保持安全。
苹果还发布了macOS Ventura 13.1、watchOS 9.2、tvOS 16.2、macOS Big Sur 11.7.2、macOS Monterey 12.6.2和Safari 16.2。
谷歌安卓对于谷歌的Android操作系统来说,12月是一个重装补丁的月份,在这个月里发布了数十个安全漏洞的修补程序。谷歌在一份安全公告中表示,该漏洞被追踪为CVE-2022-20411,最严重的是系统组件中的一个严重漏洞,可能导致通过蓝牙远程执行代码,而不需要额外的执行权限。
谷歌还修复了Android框架组件CVE-2022-20472和CVE-2022-20473的两个关键缺陷。与此同时,谷歌在12月修补了151个像素特定的漏洞。
12月的补丁可用于谷歌自己的Pixel设备以及三星智能手机,包括硬件制造商的旗舰Galaxy系列。
谷歌Chrome 108谷歌发布了Chrome浏览器的紧急更新,以修复今年第9个零日漏洞。Chrome的V8 Javascript引擎中的高度严重类型混淆问题被跟踪为CVE-2022-4262,可以允许远程攻击者通过精心制作的HTML页面利用堆损坏。该浏览器制造商在一篇博客中表示:“谷歌意识到存在针对CVE-2022-4262的漏洞。
就在谷歌发布Chrome 108后几天,紧急更新发布,修补了28个安全漏洞。这些修复包括cve -2022-4174 (v8中的类型混淆漏洞)和几个释放后使用的错误。据谷歌称,这些漏洞都没有在攻击中被利用。但考虑到最新的漏洞已经落入攻击者手中,尽快更新Chrome是个好主意。
微软补丁星期二微软12月的周二补丁是另一个大补丁,修复了49个安全漏洞,包括一个用于攻击的漏洞。该问题被跟踪为CVE-2022-44698,是Windows SmartScreen安全功能绕过漏洞,可能导致完整性和可用性损失。
微软表示:“攻击者可以制作一个恶意文件来逃避网络标记(MOTW)防御,导致微软Office中的受保护视图(Protected View)等安全功能的完整性和可用性受到有限的损失,这些安全功能依赖于MOTW标记。”
另一个严重缺陷是DirectX图形内核中的特权提升漏洞,跟踪为CVE-2022-44710。一次成功的攻击可以让对手获得系统特权。
微信扫一扫打赏
