تحتاج حقًا إلى تحديث Firefox و Android الآن

يتوفر تصحيح أمان Android لأجهزة Pixel من Google ، والتي لها أجهزة خاصة بها تحديثات محددة، ومجموعة Galaxy من Samsung ، بما في ذلك Samsung Galaxy Note 10 و Galaxy S21 و Galaxy A73. يمكنك التحقق من التحديث في الإعدادات الخاصة بك.

مايكروسوفت باتش الثلاثاء

قامت Microsoft بإصلاح مشكلة أمنية ضخمة إلى حد ما 98 في أول تصحيح لها يوم الثلاثاء من العام ، بما في ذلك ثغرة أمنية تم استغلالها بالفعل: CVE-2023-21674 هو ارتفاع لخلل الامتياز الذي يؤثر على استدعاء الإجراء المحلي المتقدم لـ Windows والذي قد يؤدي إلى هروب وضع الحماية للمتصفح.

من خلال استغلال الخطأ ، يمكن للخصم الحصول على امتيازات النظام ، كما كتبت Microsoft ، مؤكدة أنه تم اكتشاف الخلل في هجمات حقيقية.

من السهل نسبيًا استغلال ارتفاع آخر في الثغرة الأمنية في واجهة مستخدم مدير بيانات الاعتماد في Windows ، CVE-2023-21726 ، ولا يتطلب أي تفاعل من المستخدم.

شهد يوم الثلاثاء من تصحيح شهر يناير أيضًا قيام Microsoft بإصلاح تسع ثغرات أمنية في Windows Kernel ، ثمانية منها هي مشكلات تتعلق بالامتيازات وثغرة واحدة في الكشف عن المعلومات.

موزيلا فايرفوكس

أصدرت شركة البرمجيات Mozilla تحديثات مهمة لمتصفح Firefox ، وكان أخطرها موضوع تحذير من وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA).

من بين العيوب الـ 11 التي تم إصلاحها في Firefox 109 ، تم تصنيف أربعة منها على أنها ذات تأثير كبير ، بما في ذلك CVE-2023-23597، وهو خطأ منطقي في تخصيص العملية يمكن أن يسمح للخصوم بقراءة ملفات عشوائية. في غضون ذلك ، موزيلا قال وجد فريقها الأمني ​​ثغرات أمنية في الذاكرة في Firefox 108. وكتبت: “أظهرت بعض هذه الأخطاء أدلة على تلف الذاكرة ونفترض أنه بجهد كافٍ ، يمكن استغلال بعضها لتشغيل تعليمات برمجية عشوائية”.

قالت CISA إن المهاجم يمكن أن يستغل بعض نقاط الضعف هذه للسيطرة على نظام متأثر استشاري. تشجع CISA المستخدمين والمسؤولين على مراجعة تحذيرات Mozilla الأمنية الخاصة بـ فايرفوكس ESR 102.7 و فايرفوكس 109 لمزيد من المعلومات وتطبيق التحديثات اللازمة. “

برنامج VMWare

قامت شركة VMWare لصناعة برامج المؤسسات بنشر استشارة أمان توضح بالتفصيل أربعة عيوب تؤثر على منتجها VMware vRealize Log Insight. تعقب كـ CVE-2022-31706، الأول هو ثغرة أمنية لاجتياز الدليل مع درجة أساسية لـ CVSSv3 تبلغ 9.8. من خلال استغلال الخلل ، يمكن لممثل ضار غير مصدق عليه حقن الملفات في نظام التشغيل من جهاز متأثر ، مما يؤدي إلى RCE ، كما يقول VMWare.

وفي الوقت نفسه ، فإن ثغرة RCE للتحكم في الوصول المعطلة التي تم تتبعها مثل CVE-2022-31704 لها أيضًا درجة أساسية CVCCv3 تبلغ 9.8. وغني عن البيان أن المتضررين من هذه الثغرات الأمنية يجب تصحيحها في أقرب وقت ممكن.

وحي

عملاق البرمجيات أوراكل لديه صدر إصلاحات لـ 327 ثغرة أمنية ضخمة ، 70 منها مصنفة على أنها ذات تأثير خطير. من المثير للقلق أن 200 من المشكلات التي تم تصحيحها في يناير يمكن استغلالها بواسطة مهاجم بعيد غير مصادق.

توصي شركة Oracle الأشخاص بتحديث أنظمتهم في أقرب وقت ممكن ، محذرة من أنها تلقت تقارير عن “محاولات استغلال ضار للثغرات الأمنية التي أصدرت Oracle بالفعل تصحيحات أمان لها”.

في بعض الحالات ، تم الإبلاغ عن نجاح المهاجمين لأن العملاء المستهدفين فشلوا في تطبيق تصحيحات Oracle المتاحة ، كما تقول.

العصارة

ساب يوم التصحيح لشهر يناير تم إصدار 12 ملاحظة أمنية جديدة ومحدثة. مع درجة 9.0 في CVSS ، CVE-2023-0014 تم تصنيفها على أنها أخطر خطأ من قبل شركة أمنية أونابسيس. يقول Onapsis إن الخلل يؤثر على غالبية عملاء SAP ويمثل التخفيف من حدته تحديًا.

تعتبر ثغرة الالتقاط وإعادة العرض مخاطرة لأنها قد تسمح للمستخدمين الضارين بالوصول إلى نظام SAP. يوضح Onapsis قائلاً: “يتضمن التصحيح الكامل للثغرة الأمنية تطبيق تصحيح kernel ، وتصحيح ABAP ، والترحيل اليدوي لجميع وجهات RFC و HTTP الموثوقة”.