Dezembro foi um mês agitado para atualizações, já que empresas como Apple e Google correram para tirar patches para corrigir falhas graves em seus produtos antes do feriado.
Os gigantes do software empresarial também lançaram seu quinhão de patches, com Atlassian e SAP eliminando vários bugs críticos em dezembro.
Aqui está o que você precisa saber sobre as atualizações importantes que você pode ter perdido durante o mês.
Apple iOS
Em meados de dezembro, a Apple lançou o iOS 17.2, uma atualização importante contendo recursos como o aplicativo Journal, bem como 12 patches de segurança. Entre as falhas fixo no iOS 17.2 é CVE-2023-42890um problema no mecanismo do navegador WebKit que pode permitir que um invasor execute código.
Outra falha no kernel do iPhone, rastreada como CVE-2023-4291, pode fazer com que um aplicativo saia de sua sandbox segura, escreveu a Apple em seu página de suporte. Enquanto isso, duas vulnerabilidades no ImageIO, CVE-2023-42898 e CVE-2023-42899, podem levar à execução de código.
A atualização do iOS 17.2 também implementou um mecanismo para evitar um ataque de Bluetooth usando um dispositivo de teste de penetração chamado Flipper Zero, de acordo com testes de ZDNET e 9to5Mac. O irritante ataque cibernético de negação de serviço pode causar o aparecimento de uma enxurrada de pop-ups em um iPhone e, eventualmente, travar o dispositivo.
A Apple também lançou iOS 16.7.3, Safari 17.2, macOS Sonoma 14.2, macOS Ventura 13.6.3, macOS Monterey 12.7.2, tvOS 17.2 e watchOS 10.2.
Apenas uma semana após o lançamento do iOS 17.2, a Apple emitiu iOS 17.2.1 e iOS 16.7.4 para dispositivos mais antigos, junto com MacOS Sonoma 14.2.1. A atualização surpresa do iPhone contém bugs não especificados e correções de segurança, enquanto o patch do macOS corrige uma única falha rastreada como CVE-2023-42940.
Android
O Google Android dezembro Boletim de Segurança foi robusto, corrigindo quase 100 problemas de segurança. A atualização inclui patches para dois problemas críticos no Framework, o mais grave dos quais pode levar ao escalonamento remoto de privilégios sem a necessidade de privilégios adicionais. A interação do usuário não é necessária para a exploração, disse o Google.
CVE-2023-40088 é uma falha crítica no sistema que pode levar à execução remota de código, enquanto CVE-2023-40078 é um bug de elevação de privilégio classificado como de alto impacto.
O Google também emitiu um atualizar para sua plataforma WearOS de dispositivo inteligente, corrigindo CVE-2023-40094, uma falha de elevação de privilégio. O Boletim de Segurança Pixel não foi publicado no momento da redação deste artigo.
Google Chrome
O Google encerrou um mês de dezembro repleto de atualizações em grande estilo com um solução de emergência para seu navegador Chrome. A oitava vulnerabilidade de dia zero que afeta o Chrome em 2024, CVE-2023-7024 é um problema de estouro de buffer de heap no componente WebRTC de código aberto. O Google está “ciente de que existe uma exploração para CVE-2023-7024”, disse o fabricante do navegador em um comunicado. consultivo.
Não foi a primeira correção lançada pelo Google em dezembro. A gigante do software também publicado um patch do Chrome no meio do mês para corrigir nove problemas de segurança. Das falhas relatadas por pesquisadores externos, cinco são classificadas como de alta gravidade, incluindo CVE-2023-6702, uma falha de confusão de tipo no V8, e quatro bugs de uso após liberação.