Devi aggiornare Google Chrome, Windows e Zoom ora
Gli aggiornamenti hanno continuato a essere rilasciati in modo fitto e veloce in ottobre, con patch ora disponibili da artisti del calibro di Apple per iOS, Google Chrome, Android e, ovviamente, Microsoft nel suo Patch Tuesday mensile. Questo in aggiunta agli aggiornamenti per risolvere i problemi con i prodotti Zoom, Cisco, VMware e SAP.
Ecco i dettagli su tutte le patch importanti rilasciate ad ottobre.
Apple iOS 16.1 e iPadOS 16
Ottobre ha visto il rilascio di due versioni di iOS 16 in seguito al lancio del sistema operativo aggiornato del produttore di iPhone a settembre. Per prima cosa è arrivato iOS 16.0.3, che ha risolto alcuni problemi iniziali, inclusi diversi bug e un difetto di sicurezza in Mail che poteva consentire attacchi denial-of-service.
Solo poche settimane dopo, Apple ha rilasciato iOS 16.1 e iPadOS 16, l’ultimo dei quali è stato ritardato in concomitanza con il lancio degli ultimi modelli di iPad. Le ultime versioni di iOS includono un elenco più lungo di correzioni di sicurezza e includono exploit.
Rilevata come CVE-2022-42827, la vulnerabilità del kernel potrebbe consentire a un’applicazione di eseguire codice con privilegi del kernel, secondo la pagina di supporto di Apple. L’aggiornamento del sistema operativo risolve 20 vulnerabilità in totale, di cui tre nel kernel nel cuore del sistema operativo dell’iPhone. Nel frattempo, iOS 16.1 risolve quattro difetti in WebKit, il motore che alimenta il browser Safari, due dei quali potrebbero portare all’esecuzione di codice se sfruttati.
Apple ha anche rilasciato iOS 15.7.1 e iPadOS 15.7.1 che corregge il difetto del kernel già sfruttato.
A causa della gravità dei problemi e della mancanza di dettagli forniti, è una buona idea aggiornare a iOS 16.1 o iOS 15.7.1 il prima possibile.
Martedì delle patch di Microsoft
Patch Tuesday arriva di nuovo con correzioni per un elenco piuttosto pesante di 84 difetti. Di questi, 13 sono classificati come critici e uno viene utilizzato negli attacchi. Rilevata come CVE-2022-41033, una vulnerabilità relativa all’acquisizione di privilegi più elevati nel servizio Windows COM+ Event System interessa quasi tutte le versioni di Windows. Il difetto è grave, in quanto può essere incatenato ad altri exploit per impossessarsi della macchina di qualcuno.
In particolare, assente dagli aggiornamenti del Patch Tuesday è una correzione per due bug attivamente sfruttati monitorati come CVE-2022-41040 e CVE-2022-41082, noti come ProxyNotShell. I difetti sono stati segnalati a Microsoft dal fornitore di sicurezza GTSC. Microsoft ha condiviso le mitigazioni, ma i ricercatori hanno avvertito che potrebbero essere aggirate.
Google Chrome
Ottobre ha visto un altro aggiornamento di emergenza per gli utenti di Google Chrome, con il produttore del browser che ha emesso una correzione per una sorta di difetto confuso nel motore JavaScript V8 tracciato come CVE-2022-3723. Il problema è stato corretto pochi giorni dopo essere stato segnalato dai ricercatori Avast, indicando quanto fosse grave: il difetto poteva essere sfruttato per eseguire codice e ottenere il controllo del sistema. Google ha affermato di essere “a conoscenza dei rapporti secondo cui esiste un exploit per CVE-2022-3723 in natura”.
All’inizio del mese, Google ha rilasciato Chrome 106, che risolve sei vulnerabilità classificate come di gravità elevata. Difetti notevoli includono CVE-2022-3445, un bug in Skia, la libreria grafica 2D open source che funge da motore grafico per Google Chrome.
Altri problemi risolti in ottobre sono stati un overflow del buffer di heap in WebSQL monitorato come CVE-2022-3446 e un bug use-after-free nell’API delle autorizzazioni monitorato come CVE-2022-3448, Google ha scritto nel blog questo. Google ha anche corretto due bug use-after-free in Navigazione sicura e Peer Connection.
Google Android
Il bollettino sulla sicurezza di Android di ottobre include correzioni per 15 difetti di framework e di sistema e 33 problemi di kernel e componenti del fornitore. Uno dei problemi più preoccupanti è una vulnerabilità di sicurezza critica nel componente Framework che potrebbe portare all’elevazione dei privilegi locali, tracciata come CVE-2022-20419. Nel frattempo, un difetto del kernel può anche portare all’escalation dei privilegi locali senza che siano necessari privilegi di esecuzione aggiuntivi.
Nessuno dei problemi è noto per essere stato utilizzato negli attacchi, ma ha comunque senso controllare il tuo dispositivo e aggiornarlo quando puoi. Google ha lanciato l’aggiornamento sui suoi dispositivi Pixel ed è disponibile anche per gli smartphone Samsung Galaxy serie S21 e S22 e Galaxy S21 FE.
Cisco
Cisco ha esortato le aziende a correggere due difetti nel suo AnyConnect Secure Mobility Client per Windows dopo aver confermato che le vulnerabilità venivano utilizzate negli attacchi. Tracciato come CVE-2020-3433, il primo potrebbe consentire a un utente malintenzionato con credenziali Windows valide di eseguire codice su una macchina interessata con privilegi di sistema.
Nel frattempo, CVE-2020-3153 potrebbe consentire a un utente malintenzionato con credenziali Windows valide di copiare file dannosi in posizioni arbitrarie con privilegi a livello di sistema.
La US Cybersecurity and Infrastructure Security Agency ha aggiunto i difetti di Cisco al suo catalogo di vulnerabilità già utilizzato.
Sebbene entrambi i difetti di Cisco richiedano l’autenticazione dell’attaccante, è comunque importante eseguire l’aggiornamento ora.
Ingrandire
Il servizio di videoconferenza Zoom ha corretto diversi problemi in ottobre, incluso un difetto nel suo client Zoom per riunioni, che è stato contrassegnato come di alta gravità con un punteggio CVSS di 8,8. Zoom afferma che le versioni precedenti alla versione 5.12.2 sono soggette a una vulnerabilità di analisi degli URL rilevata come CVE-2022-28763.
“Se viene aperto un URL di una riunione Zoom dannoso, il collegamento potrebbe indirizzare l’utente a connettersi a un indirizzo di rete arbitrario, portando ad ulteriori attacchi, incluso il dirottamento della sessione”, ha affermato Zoom in un bollettino sulla sicurezza.
