قامت Apple وGoogle للتو بتصحيح أول عيوب يوم الصفر لهذا العام

تكلنوجيا

قامت Apple وGoogle للتو بتصحيح أول عيوب يوم الصفر لهذا العام


في وقت لاحق من شهر يناير، أصدرت Google Chrome 121 للقناة الثابتة، مما أدى إلى إصلاح 17 مشكلة أمنية، تم تصنيف ثلاث منها على أنها ذات تأثير كبير. وتشمل هذه CVE-2024-0807، وهو عيب يتم استخدامه بعد الاستخدام مجانًا في WebAudio، و CVE-2024-0812، ثغرة أمنية غير مناسبة في إمكانية الوصول. الثغرة الأمنية الأخيرة عالية التأثير هي CVE-2024-0808، وهي عبارة عن تدفق عدد صحيح في WebUI.

من الواضح أن هذه التحديثات مهمة، لذا تحقق منها وقم بتطبيقها في أقرب وقت ممكن.

مايكروسوفت

يعمل برنامج التصحيح لشهر يناير من Microsoft يوم الثلاثاء على القضاء على ما يقرب من 50 خطأ في برامجها الشهيرة، بما في ذلك 12 خطأ في تنفيذ التعليمات البرمجية عن بعد (RCE).

من المعروف أنه لم يتم استخدام أي ثغرات أمنية مدرجة في مجموعة التحديثات لهذا الشهر في الهجمات، ولكن تشمل العيوب الملحوظة: CVE-2024-20677، وهو خطأ في Microsoft Office قد يسمح للمهاجمين بإنشاء مستندات ضارة باستخدام ملفات نموذج FBX 3D المضمنة لتنفيذ التعليمات البرمجية.

للتخفيف من هذه الثغرة الأمنية، تم تعطيل القدرة على إدراج ملفات FBX في Word وExcel وPowerPoint وOutlook لنظامي التشغيل Windows وMac. وقالت مايكروسوفت إن إصدارات Office التي تم تمكين هذه الميزة بها لن تتمكن بعد الآن من الوصول إليها.

في أثناء، CVE-2024-20674 عبارة عن ثغرة أمنية لتجاوز ميزة أمان Windows Kerberos تم تصنيفها على أنها حرجة بدرجة CVSS تبلغ 8.8. وقالت مايكروسوفت إنه في أحد سيناريوهات هذه الثغرة الأمنية، يمكن للمهاجم إقناع الضحية بالاتصال بتطبيق ضار يتحكم فيه المهاجم. وأضافت شركة البرمجيات العملاقة: “عند الاتصال، يمكن للخادم الخبيث أن يعرض البروتوكول للخطر”.

موزيلا فايرفوكس

في أعقاب منافسها المهيمن على السوق Chrome، قام متصفح Mozilla's Firefox بتصحيح 15 ثغرة أمنية في آخر تحديث له. تم تصنيف خمسة من الأخطاء على أنها ذات خطورة عالية، بما في ذلك CVE-2024-0741، مشكلة كتابة خارجة عن الحدود في Angle والتي قد تسمح للمهاجم بإتلاف الذاكرة، مما يؤدي إلى حدوث عطل يمكن استغلاله.

يتم تتبع قيمة الإرجاع غير المحددة في رمز مصافحة TLS كـ CVE-2024-0743 يمكن أن يتسبب أيضًا في حدوث عطل قابل للاستغلال.

CVE-2024-0755 يغطي أخطاء سلامة الذاكرة التي تم إصلاحها في Firefox 122 وFirefox ESR 115.7 وThunderbird 115.7. “أظهرت بعض هذه الأخطاء دليلاً على تلف الذاكرة، ونفترض أنه مع بذل ما يكفي من الجهد كان من الممكن استغلال بعض هذه الأخطاء لتشغيل تعليمات برمجية عشوائية،” موزيلا قال.

سيسكو

تمتلك شركة سيسكو العملاقة لبرمجيات المؤسسات مرمم ثغرة أمنية في العديد من منتجات Cisco Unified Communications وContact Center Solutions التي قد تسمح لمهاجم بعيد غير مصادق بتنفيذ تعليمات برمجية عشوائية على جهاز متأثر.

تتبع باسم CVE-2024-20253 ومع حصولها على نتيجة هائلة تبلغ 9.9 في نظام CVSS، قالت شركة Cisco إن المهاجم يمكنه استغلال الثغرة الأمنية عن طريق إرسال رسالة معدة إلى منفذ استماع لجهاز متأثر.

وقالت Cisco: “قد يسمح الاستغلال الناجح للمهاجم بتنفيذ أوامر عشوائية على نظام التشغيل الأساسي مع امتيازات مستخدم خدمات الويب”. وحذر من أنه “من خلال الوصول إلى نظام التشغيل الأساسي، يمكن للمهاجم أيضًا إنشاء وصول إلى الجذر على الجهاز المصاب”.

العصارة

أصدرت SAP 10 إصلاحات أمنية جديدة كجزء من شهر يناير يوم التصحيح الأمني، والذي يتضمن العديد من المشكلات بدرجة CVSS تبلغ 9.1. CVE-2023-49583 هي مشكلة تتعلق بتصعيد الامتياز في التطبيقات التي تم تطويرها من خلال SAP Business Application Studio وSAP Web IDE Full-Stack وSAP Web IDE لـ SAP HANA.

في أثناء، CVE-2023-50422 وCVE-2023-49583 هما مشكلات تتعلق بتصعيد الامتياز في SAP Edge Integration Cell.

عيب آخر ملحوظ هو CVE-2024-21737، وهي ثغرة أمنية لإدخال التعليمات البرمجية في SAP Application Interface Framework، والتي حصلت على درجة CVSS تبلغ 8.4. “تسمح الوحدة الوظيفية الضعيفة للتطبيق للمهاجم بالانتقال عبر طبقات مختلفة وتنفيذ أوامر نظام التشغيل مباشرة،” حسبما ذكرت شركة الأمن Onapsis قال. “يمكن أن تتسبب عمليات الاستغلال الناجحة في إحداث تأثير كبير على سرية التطبيق وسلامته وتوافره.”



Source link

Back To Top