وفي وقت سابق من الشهر، أصلحت جوجل عيبًا آخر في يوم الصفر، وهو مشكلة تجاوز سعة المخزن المؤقت لكومة الذاكرة المؤقتة والتي تم تتبعها في البداية باسم CVE-2023-4863، والتي اعتقدت أنها أثرت على متصفح Chrome فقط. ولكن بعد أسبوعين من إصلاح المشكلة، اكتشف الباحثون أن الأمر أسوأ مما كانوا يعتقدون، مما أثر على مكتبة صور libwebp المستخدمة على نطاق واسع لعرض الصور بتنسيق WebP.
تم تتبعه الآن باسم CVE-2023-5129، ويُعتقد أن الخطأ يؤثر على كل تطبيق يستخدم مكتبة libwebp لمعالجة صور WebP. وكتبت شركة Rezilion الأمنية في إحدى مدوناتها: “إن نطاق هذه الثغرة الأمنية أوسع بكثير مما كان مفترضًا في البداية، مما يؤثر على ملايين التطبيقات المختلفة في جميع أنحاء العالم”.
ويعتقد الجهاز الأمني أيضًا أنه “من المحتمل جدًا” أن تكون المشكلة الأساسية في مكتبة libwebp هي نفس المشكلة الناتجة عن CVE-2023-41064 – وهي إحدى عيوب Apple المستخدمة كجزء من سلسلة استغلال BLASTPASS لنشر Pegasus التابع لمجموعة NSO برامج التجسس.
مايكروسوفت
يعد برنامج Microsoft Patch Tuesday أحد البرامج التي يجب تذكرها، حيث تم إصلاح حوالي 65 عيبًا، تم استغلال اثنتين منها بالفعل من قبل المهاجمين. الأول، الذي تم تتبعه باسم CVE-2023-36761، هو ثغرة أمنية للكشف عن معلومات Microsoft Word والتي قد تسمح بكشف تجزئات NTLM.
العيب الثاني والأكثر خطورة هو ثغرة تصعيد الامتيازات في Microsoft Streaming Service Proxy والتي يتم تتبعها باسم CVE-2023-36802. وقالت مايكروسوفت إن المهاجم الذي نجح في استغلال هذه الثغرة الأمنية يمكن أن يحصل على امتيازات النظام، مضيفة أنه تم اكتشاف استغلال الخلل.
تم تصنيف كلا العيبين على أنهما مهمان، لذا من الجيد تحديث أجهزتك في أقرب وقت ممكن.
موزيلا فايرفوكس
لقد مر Firefox بشهر محموم بعد أن قامت Mozilla بإصلاح 10 عيوب في متصفحها المراعي للخصوصية. CVE-2023-5168 هو خطأ كتابة خارج الحدود في FilterNodeD2D1 يؤثر على Firefox على نظام التشغيل Windows، وقد تم تصنيفه على أنه ذو تأثير كبير.
يعد CVE-2023-5170 عيبًا قد يؤدي إلى تسرب الذاكرة من عملية مميزة. يمكن استخدام هذا لإحداث هروب من وضع الحماية إذا تم تسريب البيانات الصحيحة، حسبما قال مالك Firefox Mozilla في تقرير استشاري.
وفي الوقت نفسه، يغطي CVE-2023-5176 أخطاء سلامة الذاكرة التي تم إصلاحها في Firefox 118 وFirefox ESR 115.3 وThunderbird 115.3. وقالت موزيلا: “أظهرت بعض هذه الأخطاء دليلاً على تلف الذاكرة، ونفترض أنه بجهد كافٍ كان من الممكن استغلال بعض هذه الأخطاء لتشغيل تعليمات برمجية عشوائية”.
سيسكو
في بداية الشهر، أصدرت Cisco تصحيحًا لثغرة أمنية في تنفيذ تسجيل الدخول الموحد لمنصة Cisco BroadWorks Application Delivery Platform وCisco BroadWorks Xtending Services Platform التي قد تسمح لمهاجم عن بعد غير مصادق عليه بتزوير بيانات الاعتماد للوصول إلى النظام المتأثر. تم تتبع الثغرة على أنها CVE-2023-20238، وتم منحها أقصى درجة لـ CVSS وهي 10.
وفي هذا الشهر أيضًا، قامت Cisco بتصحيح ثغرة يوم الصفر في برنامج Adaptive Security Appliance وبرنامج Firepower Threat Defense الذي تم استغلاله بالفعل في هجمات Akira Ransomware. تم تتبعه كـ CVE-2023-20269 ومع درجة CVSS متوسطة الخطورة تبلغ 5، يمكن أن تسمح الثغرة الأمنية في ميزة VPN للوصول عن بعد لبرنامج Cisco Adaptive Security Appliance (ASA) وبرنامج Cisco Firepower Threat Defense (FTD) لمهاجم بعيد غير مصادق عليه لإجراء هجوم القوة الغاشمة لتحديد مجموعات اسم المستخدم وكلمة المرور الصالحة.
العصارة
أصدرت شركة برمجيات المؤسسات SAP العديد من الإصلاحات المهمة كجزء من يوم التصحيح الأمني لشهر سبتمبر. يتضمن ذلك تصحيحًا لـ CVE-2023-40622، وهي ثغرة أمنية للكشف عن المعلومات في SAP BusinessObjects Business Intelligence Platform مع درجة CVSS تبلغ 9.9. وقالت شركة Onapsis الأمنية: “إن الاستغلال الناجح يوفر معلومات يمكن استخدامها في هجمات لاحقة، مما يؤدي إلى اختراق كامل للتطبيق”.
CVE-2023-40309 هي مشكلة التحقق من الترخيص المفقودة في SAP CommonCryptoLib مع درجة CVSS تبلغ 9.8. وقال أونابسيس إن الخلل يمكن أن يؤدي إلى تصعيد الامتيازات، وفي أسوأ الحالات، يمكن للمهاجمين اختراق التطبيق المتأثر بالكامل.
وفي الوقت نفسه، يعد CVE-2023-42472 ثغرة غير كافية للتحقق من صحة نوع الملف في SAP BusinessObjects Business Intelligence Platform بدرجة CVSS تبلغ 8.7.
