كان شهر ديسمبر شهرًا مزدحمًا بالتحديثات، حيث سارعت الشركات بما في ذلك Apple وGoogle للحصول على تصحيحات لإصلاح العيوب الخطيرة في منتجاتها قبل عطلة العطلة.
كما أصدر عمالقة برمجيات المؤسسات أيضًا نصيبهم العادل من التصحيحات، حيث قامت Atlassian وSAP بسحق العديد من الأخطاء الحرجة خلال شهر ديسمبر.
إليك ما تحتاج إلى معرفته حول التحديثات المهمة التي ربما فاتتك خلال الشهر.
أبل آي أو إس
في منتصف ديسمبر، أصدرت Apple نظام التشغيل iOS 17.2، وهو ترقية رئيسية تحتوي على ميزات مثل تطبيق Journal، بالإضافة إلى 12 تصحيحًا أمنيًا. ومن بين العيوب التي تم إصلاحها في iOS 17.2، CVE-2023-42890، وهي مشكلة في محرك متصفح WebKit قد تسمح للمهاجم بتنفيذ تعليمات برمجية.
وكتبت شركة آبل على صفحة الدعم الخاصة بها أن هناك عيبًا آخر في Kernel الخاص بجهاز iPhone، والذي تم تتبعه باسم CVE-2023-4291، يمكن أن يؤدي إلى خروج تطبيق من صندوق الحماية الآمن الخاص به. وفي الوقت نفسه، هناك ثغرتان أمنيتان في ImageIO، CVE-2023-42898 وCVE-2023-42899، يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية.
كما وضع تحديث iOS 17.2 آلية لمنع هجوم البلوتوث باستخدام جهاز اختبار الاختراق المسمى Flipper Zero، وفقًا لاختبارات ZDNET و9to5Mac. قد يتسبب الحرمان المزعج من الخدمة عبر الإنترنت في ظهور موجة من النوافذ المنبثقة على جهاز iPhone وإغلاق الجهاز في النهاية.
أصدرت Apple أيضًا iOS 16.7.3 وSafari 17.2 وmacOS Sonoma 14.2 وmacOS Ventura 13.6.3 وmacOS Monterey 12.7.2 وtvOS 17.2 وwatchOS 10.2.
بعد أسبوع واحد فقط من إطلاق iOS 17.2، أصدرت Apple iOS 17.2.1 وiOS 16.7.4 للأجهزة الأقدم، إلى جانب macOS Sonoma 14.2.1. يحتوي تحديث iPhone المفاجئ على إصلاحات أخطاء وأمان غير محددة، بينما يعمل تصحيح macOS على إصلاح عيب واحد يتم تتبعه باسم CVE-2023-42940.
جوجل أندرويد
لقد كانت نشرة Google Android الأمنية لشهر ديسمبر بمثابة نشرة ضخمة، حيث تم إصلاح ما يقرب من 100 مشكلة أمنية. يتضمن التحديث تصحيحات لمشكلتين هامتين في إطار العمل، وقد تؤدي أخطرهما إلى تصعيد الامتيازات عن بعد دون الحاجة إلى امتيازات إضافية. وقالت جوجل إن تفاعل المستخدم ليس ضروريًا للاستغلال.
يعد CVE-2023-40088 عيبًا خطيرًا في النظام قد يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد، في حين أن CVE-2023-40078 عبارة عن خطأ مرتفع في الامتياز تم تصنيفه على أنه ذو تأثير كبير.
أصدرت Google أيضًا تحديثًا لمنصة WearOS للأجهزة الذكية الخاصة بها، لإصلاح خطأ CVE-2023-40094، وهو ارتفاع في الامتيازات. لم يتم نشر نشرة Pixel Security Bulletin حتى وقت كتابة هذا التقرير.
جوجل كروم
أنهت Google شهر ديسمبر من التحديثات الوفيرة بأناقة من خلال إصلاح طارئ لمتصفح Chrome الخاص بها. الثغرة الأمنية الثامنة التي تؤثر على Chrome في عام 2024، CVE-2023-7024، هي مشكلة تجاوز سعة المخزن المؤقت في مكون WebRTC مفتوح المصدر. وقالت الشركة المصنعة للمتصفح في تقرير استشاري إن جوجل “تدرك أن استغلال CVE-2023-7024 موجود في البرية”.
لم يكن هذا هو الإصلاح الأول الذي أصدرته Google في ديسمبر. أصدر عملاق البرمجيات أيضًا تصحيح Chrome في منتصف الشهر لإصلاح تسع مشكلات أمنية. من بين العيوب التي أبلغ عنها باحثون خارجيون، تم تصنيف خمس منها على أنها ذات خطورة عالية، بما في ذلك CVE-2023-6702، وهو نوع من العيوب في V8، وأربعة أخطاء بعد الاستخدام المجاني.
