Вам нужно обновить iOS, Android, Synology, QNAP и Chrome прямо сейчас
Плюс: Microsoft исправила около 100 недостатков, а Oracle выпустила более 500 исправлений безопасности.
Апрель был насыщен обновлениями безопасности, в том числе экстренными исправлениями для Apple iOS и Google Chrome, которые устраняют уязвимости, уже используемые злоумышленниками. Microsoft выпустила важные исправления в рамках своего Вторника исправлений в середине апреля, в то время как пользователям Android на нескольких устройствах необходимо убедиться, что они применяют последнее обновление, когда оно станет доступным. Вот все апрельские обновления, о которых вам нужно знать.
Apple iOS и iPadOS 15.4.1, macOS 12.3.1
Всего через две недели после запуска iOS 15.4 Apple выпустила iOS и iPad 15.4.1, чтобы исправить уязвимость в AppleAVD, которая уже используется для атак на iPhone. Согласно странице поддержки Apple, используя уязвимость, обозначенную как CVE-2022-22675, злоумышленники могут выполнять произвольный код с привилегиями ядра через приложение. Это может дать злоумышленнику полный контроль над вашим устройством, поэтому важно применить исправление.
В качестве дополнительного бонуса в iOS и iPadOS 15.4.1 исправлена проблема с разрядкой аккумулятора, затрагивающая некоторые iPhone на iOS 15.4. Обновления доступны для iPhone 6s и новее, iPad Pro, iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch 7-го поколения.
Между тем, macOS Monterey 12.3.1 устраняет ту же проблему в macOS, а также другую уязвимость в графическом драйвере Intel, CVE-2022-22674, которая может позволить приложению считывать память ядра. Это еще одно важное исправление — Apple говорит, что проблема могла быть использована злоумышленниками.
Apple также выпустила tvOS 15.4.1 и watchOS 8.5.1 с исправлениями ошибок.
В течение прошлого года обновления Apple поступали часто и быстро: производитель iPhone исправил ряд существенных уязвимостей, в том числе проблему zero-click, которую использует шпионское ПО Pegasus, узкоспециализированное вредоносное ПО, разработанное израильской фирмой NSO Group. Это было предметом недавнего отчета исследователей безопасности из Citizen Lab, которые подробно описали, как Pegasus и другие подобные атаки с zero-click были нацелены на членов Европейского парламента, законодателей, политических активистов и организации гражданского общества.
Атака zero-click особенно страшна, потому что, как следует из названия, для ее работы не требуется никакого взаимодействия. Это означает, что изображение, отправленное через iMessage, может заразить ваш iPhone шпионским ПО.
Citizen Lab подробно описал ранее нераскрытую уязвимость iOS с zero-click под названием HOMAGE, используемую NSO Group. Некоторые версии iOS до iOS 13.2 могут быть подвержены риску, поэтому важно, чтобы ваш iPhone был обновлен.
Патчи Android от апреля 2022 г.
Пользователи Android также должны быть начеку, так как в этом месяце Google исправила 44 уязвимости в своей мобильной операционной системе. Согласно бюллетеню Google по безопасности Android, самая серьезная проблема в компоненте фреймворка может привести к локальному повышению привилегий без какого-либо взаимодействия с пользователем.
Обновление разделено на две части: уровень исправления безопасности 2022-04-01 для большинства устройств Android и уровень исправления безопасности 2022-04-05 для определенных телефонов и планшетов. Последний из двух исправляет 30 проблем в компонентах системы и ядра, среди прочего. Существуют также исправления для пяти проблем безопасности, характерных для смартфонов Google Pixel, одно из которых может позволить приложению повышать привилегии и выполнять код в определенных версиях Linux.
Чтобы найти обновление, вам нужно проверить настройки вашего устройства. Устройства, получившие апрельское обновление Android, включают устройства Google Pixel и некоторые сторонние телефоны Android, в том числе Samsung Galaxy A32 5G, A51, A52 5G, A53 5G, A71, серии S10, серии S20, серии Note20, Z Flip. 5G, Z Flip3, Z Fold, Z Fold2 и Z Fold3, а также OnePlus 9 и OnePlus 9 Pro.
Аварийные обновления Google Chrome
Неудивительно, что Google Chrome является крупнейшим в мире браузером с более чем 3 миллиардами пользователей. Атаки на основе браузера вызывают особое беспокойство, поскольку они потенциально могут быть связаны с другими уязвимостями и использоваться для захвата вашего устройства.
Это был особенно напряженный месяц для команды Google Chrome, которая получила несколько обновлений безопасности с разницей в несколько недель. Последний, выпущенный в середине апреля, устраняет две проблемы, в том числе серьезную уязвимость нулевого дня CVE-2022-1364, которая уже используется злоумышленниками.
Технические детали в настоящее время недоступны, но время исправления — всего через день после того, как о нем сообщили — указывает на то, что оно довольно серьезное. Если вы используете Chrome, версия вашего браузера должна быть 100.0.4896.127, чтобы включить исправление. Вам нужно будет перезапустить Chrome после установки обновления, чтобы убедиться, что оно активируется.
Проблема Chrome также затрагивает другие браузеры на основе Chromium, включая Brave, Microsoft Edge, Opera и Vivaldi, поэтому, если вы используете один из них, обязательно примените исправление.
Но это не все. 27 апреля Google анонсировала очередное обновление Chrome, устраняющее 30 уязвимостей в системе безопасности. По словам компании, ни одна из них еще не использовалась, но семь из них оцениваются как представляющие высокий риск. Обновление переводит браузер на версию 101.0.4951.41.
Mozilla Thunderbird 91.8.0 Fix
5 апреля Mozilla выпустила патч для устранения проблем безопасности в почтовом клиенте Thunderbird, а также в браузере Firefox. Деталей немного, но Thunderbird 91.8 исправляет четыре уязвимости, оцененные как имеющие большое влияние, некоторые из которых могут быть использованы для запуска произвольного кода. Firefox ESR 91.8 и Firefox 99 также устраняют множество проблем с безопасностью.
QNAP и множество проблем
Производитель сетевых устройст уже продолжительное время сталкивается с теми или инными проблемами связанными с уязвимостями.
В явнаре была проблема с вымогателями Qlocker (CVE-2021-28799), операторы вредоноса DeadBolt зашифровали более 3,6 тыс. устройств, после чего QNAP принудительно обновили устройста что вызвало проблемы с iSCS. Так же Linux-уязвимость Dirty Pipe не обошла стороной QNAP в марте.
Уже в апреле QNAP коснулись проблемы связанные с уязвимостями в Apache HTTP Server. Для того чтоб обезопасить себя от возможных атак через уязвимость CVE-2022-22721 до выхода патчей, пользователям устройств QNAP рекомендуется использовать для LimitXMLRequestBody значение по умолчанию «1M». В случае с CVE-2022-23943 в качестве меры предосторожности следует отключить mod_sed. На NAS-устройствах, работающих под управлением операционной системы QTS, mod_sed в Apache HTTP Server отключен по умолчанию.
Так же пару дней назад появилась уязвимость связаная с AFP протоколом – QNAP призвал своих клиентов отключить протокол файловой службы AFP своих устройств NAS, пока он не исправит критические недостатки безопасности Netatalk.
Synology DSM 7.1-42661
Synology так же столкнулись с проблемой уязвимости протокола AFP (сокращение от Apple Filing Protocol). Несмотря на то, что производитель NAS не указывает приблизительные сроки для этих входящих обновлений, Synology сообщила BleepingComputer в прошлом году, что обычно выпускает исправления для уязвимого программного обеспечения в течение 90 дней после публикации рекомендаций.
Компания также добавила, что уязвимости Netatalk уже исправлены для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии.
Если в интерфейсе вашего устройства нет обновления 7.1+, то стоит зайти на сайт Synology, скачать последнюю версию и обновить ваше устройство вручную.
Comments ()