حان الوقت للتحقق من تحديثات البرامج الخاصة بك. شهد شهر مارس إطلاق تصحيحات مهمة لنظام التشغيل iOS من Apple، ومتصفح Google Chrome، ومنافسه Firefox الذي يهتم بالخصوصية. كما تم سحق الأخطاء من قبل عمالقة برمجيات المؤسسات بما في ذلك Cisco وVMware وSAP.
إليك ما تحتاج إلى معرفته حول التحديثات الأمنية الصادرة في شهر مارس.
أبل آي أو إس
عوضت شركة Apple شهر فبراير الهادئ بإصدار تصحيحين منفصلين في شهر مارس. في بداية الشهر، أصدرت الشركة المصنعة لهواتف iPhone نظام التشغيل iOS 17.4، الذي أصلح أكثر من 40 عيبًا بما في ذلك مشكلتان تم استخدامهما بالفعل في الهجمات الواقعية.
تم تتبعه بالرقم CVE-2024-23225، وقد يسمح الخطأ الأول في iPhone Kernel للمهاجم بتجاوز حماية الذاكرة. وقالت الشركة المصنعة لهواتف آيفون على صفحة الدعم الخاصة بها: “إن شركة آبل على علم بتقرير يفيد بأن هذه المشكلة ربما تم استغلالها”.
العيب الثاني، الذي تم تتبعه باسم CVE-2024-23296، في RTKit، وهو نظام التشغيل في الوقت الفعلي المستخدم في الأجهزة بما في ذلك AirPods، يمكن أن يسمح أيضًا للخصم بتجاوز حماية ذاكرة Kernel.
في وقت لاحق من شهر مارس، أصدرت شركة Apple تحديثًا ثانيًا للبرنامج، iOS 17.4.1، هذه المرة لإصلاح عيبين في برنامج iPhone الخاص بها، وكلاهما يتم تتبعهما باسم CVE-2024-1580. باستخدام المشكلات التي تم تصحيحها في iOS 17.4.1، يمكن للمهاجم تنفيذ تعليمات برمجية إذا أقنع شخصًا ما بالتفاعل مع صورة ما.
بعد وقت قصير من إصدار iOS 17.4.1، أصدرت Apple تصحيحات لأجهزتها الأخرى لإصلاح نفس الأخطاء: Safari 17.4.1 وmacOS Sonoma 14.4.1 وmacOS Ventura 13.6.6.
جوجل كروم
كان شهر مارس شهرًا مزدحمًا آخر بالنسبة لشركة Google، التي قامت بتصحيح العديد من العيوب في متصفح Chrome الخاص بها. في منتصف الشهر، أصدرت Google 12 تصحيحًا، بما في ذلك إصلاح لـ CVE-2024-2625، وهي مشكلة تتعلق بدورة حياة الكائن في V8 ذات تصنيف خطورة عالٍ.
تتضمن المشكلات متوسطة الخطورة CVE-2024-2626، وهو خطأ قراءة خارج الحدود في Swiftshader؛ CVE-2024-2627، ثغرة لا يمكن استخدامها بعد الاستخدام في Canvas؛ وCVE-2024-2628، وهي مشكلة تنفيذ غير مناسبة في التنزيلات.
في نهاية الشهر، أصدرت Google سبعة إصلاحات أمنية، بما في ذلك تصحيحًا لثغرة خطيرة في الاستخدام بعد الاستخدام المجاني في ANGLE يتم تتبعها باسم CVE-2024-2883. تم منح اثنين من الأخطاء الأخرى التي يتم استخدامها بعد الاستخدام مجانًا، والتي تم تتبعها باسم CVE-2024-2885 وCVE-2024-2886، تصنيفًا عالي الخطورة. وفي الوقت نفسه، يعد CVE-2024-2887 عيبًا في ارتباك النوع في WebAssembly.
تم استغلال المشكلتين الأخيرتين في مسابقة القرصنة Pwn2Own 2024، لذا يجب عليك تحديث متصفح Chrome الخاص بك في أسرع وقت ممكن.
موزيلا فايرفوكس
شهد متصفح Mozilla Firefox شهرًا مزدحمًا، بعد تصحيح ثغرتين من نقاط الضعف التي تم استغلالها في Pwn2Own. CVE-2024-29943 هي مشكلة تجاوز الوصول خارج الحدود، في حين أن CVE-2024-29944 عبارة عن عيب مميز في تنفيذ JavaScript في معالجات الأحداث والذي قد يؤدي إلى الهروب من وضع الحماية. تم تصنيف كلتا القضيتين على أنهما لهما تأثير حاسم.
في وقت سابق من الشهر، أصدرت Mozilla Firefox 124 لمعالجة 12 مشكلة أمنية، بما في ذلك CVE-2024-2605، وهو خلل في وضع الحماية يؤثر على أنظمة تشغيل Windows. وقالت موزيلا إن أحد المهاجمين كان من الممكن أن يستفيد من Windows Error Reporter لتشغيل تعليمات برمجية عشوائية على النظام، والهروب من وضع الحماية.
يرى CVE-2024-2615 أنه تم إصلاح أخطاء تتعلق بسلامة الذاكرة ذات التصنيف الحرج في Firefox 124. وقالت موزيلا: “أظهرت بعض هذه الأخطاء دليلاً على تلف الذاكرة، ونفترض أنه مع بذل جهد كافٍ كان من الممكن استغلالها لتشغيل تعليمات برمجية عشوائية”. .
جوجل أندرويد
أصدرت شركة Google نشرة أمان Android لشهر مارس، والتي أصلحت ما يقرب من 40 مشكلة في نظام تشغيل الهاتف المحمول الخاص بها، بما في ذلك خطأين خطيرين في مكون النظام. CVE-2024-0039 عبارة عن ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد، في حين أن CVE-2024-23717 عبارة عن ثغرة أمنية لرفع الامتياز.
وقالت جوجل في تحذيرها: “إن أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة في مكون النظام والتي يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية عن بعد دون الحاجة إلى امتيازات تنفيذ إضافية”.