苹果、谷歌和微软刚刚修复了零日安全漏洞

　　

　　

　　科技巨头苹果、微软和谷歌都在4月份修复了主要的安全漏洞，其中许多漏洞已经被用于现实生活中的攻击。其他发布补丁的公司包括关注隐私的浏览器Firefox，以及企业软件提供商SolarWinds和Oracle。

　　以下是您需要了解的有关4月份发布的补丁的所有信息。

　　苹果

　　紧随iOS 16.4之后，苹果公司发布了iOS 16.4.1更新，修复了两个已经被攻击使用的漏洞。苹果在其支持页面上表示，CVE-2023-28206是IOSurfaceAccelerator中的一个问题，可能会导致应用程序能够以内核权限执行代码。

　　CVE-2023-28205是WebKit(支持Safari浏览器的引擎)中的一个问题，可能导致任意代码执行。在这两起案件中，iPhone制造商表示，“苹果已经注意到有报告称，这个问题可能被积极利用了。”

　　网络安全公司Sophos的安全研究员保罗·杜克林(Paul Ducklin)说，这个漏洞意味着访问一个有陷阱的网站可能会让网络犯罪分子控制你的浏览器，或者任何使用WebKit渲染和显示HTML内容的应用程序。

　　谷歌的威胁分析小组和国际特赦组织的安全实验室报告了iOS 16.4.1修复的两个漏洞。考虑到这一点，Ducklin认为这些安全漏洞可能被用来植入间谍软件。

　　苹果还为老款iphone的用户发布了iOS 15.7.5，以修复已经被利用的漏洞。与此同时，苹果发布了macOS Ventura 13.3.1、Safari 16.4.1、macOS Monterey 12.6.5和macOS Big Sur 11.7.6。

　　微软

　　苹果并不是唯一一家在4月份发布紧急补丁的大型科技公司。微软还发布了一个紧急修复程序，作为本月补丁星期二更新的一部分。CVE-2023-28252是Windows通用日志文件系统驱动程序中的权限提升错误。微软在一份公告中表示，成功利用该漏洞的攻击者可以获得系统特权。

　　另一个值得注意的漏洞CVE-2023-21554是微软消息队列中的远程代码执行漏洞，被标记为具有严重影响。微软表示，要利用该漏洞，攻击者需要向MSMQ服务器发送恶意MSMQ数据包，这可能导致服务器端远程执行代码。

　　该修复是针对98个漏洞的一系列补丁的一部分，因此值得检查该建议并尽快更新。

　　谷歌安卓

　　谷歌已经为其安卓操作系统发布了多个补丁，修复了几个严重的漏洞。谷歌在其Android安全公告中表示，最严重的漏洞是系统组件中的一个关键安全漏洞，该漏洞可能导致远程代码执行，而无需额外的执行权限。利用不需要用户交互。

　　修复的问题包括框架中的10个问题，包括8个特权提升漏洞，以及其他9个被评为高度严重的问题。Google修复了系统中的16个错误，包括两个严重的RCE缺陷以及内核和SoC组件中的几个问题。

　　该更新还包括几个特定于像素的补丁，包括内核中的特权提升漏洞，跟踪为CVE-2023-0266。安卓4月份的补丁适用于谷歌的设备，以及三星的Galaxy s系列、Fold和flip系列等机型。

　　谷歌Chrome

　　4月初，谷歌发布了一个补丁来修复其流行的Chrome浏览器中的16个问题，其中一些问题很严重。修复的漏洞包括CVE-2023-1810，视觉效果中的堆缓冲区溢出问题被评为具有高影响，以及CVE-2023-1811，帧中的use-after-free漏洞。其余14个安全漏洞被评为中等或低影响。

　　月中旬，谷歌被迫发布了紧急更新，这次修复了两个漏洞，其中一个已经被用于现实生活中的攻击。CVE-2023-2033是V8 Javascript引擎中的一种混淆漏洞。该软件巨头在其博客上表示:“谷歌意识到CVE-2023-2033漏洞的存在。”几天后，谷歌发布了另一个补丁，修复了另一个零日漏洞CVE-2023-2136，这是一个Skia图形引擎中的整数溢出漏洞。

　　考虑到问题的数量和严重性，Chrome用户应该优先检查他们当前的版本是最新的。

　　Mozilla Firefox

　　Chrome的竞争对手Firefox已经修复了Firefox 112、Firefox for Android 112和Focus for Android 112的问题。其中一个漏洞是CVE-2023-29531，这是一个在macOS上WebGL中超出边界的内存访问，被评为具有很高的影响。同时，CVE-2023-29532是影响Windows的旁路漏洞，需要本地系统访问。

　　CVE-2023-1999是libwebp中的双重免费漏洞，可能导致内存损坏和潜在的可利用崩溃，Firefox所有者Mozilla在一份咨询报告中写道。

　　Mozilla还修复了两个内存安全漏洞，CVE-2023-29550和CVE-2023-29551。该浏览器制造商表示:“其中一些漏洞显示出内存损坏的证据，我们认为，只要付出足够的努力，其中一些漏洞可能被利用来运行任意代码。”

　　SolarWinds

　　IT巨头SolarWinds在其平台上修补了两个可能导致命令执行和特权升级的严重问题。SolarWinds在一份安全报告中写道，第一个漏洞编号为CVE-2022-36963，是SolarWinds基础设施监控和管理产品中的命令注入漏洞。如果被利用，该漏洞可能允许具有有效SolarWinds平台管理帐户的远程攻击者执行任意命令。

　　另一个高度严重的问题是CVE-2022-47505，这是一个本地特权升级漏洞，具有有效系统用户帐户的本地攻击者可以使用该漏洞来升级特权。

　　最新的SolarWinds补丁修复了几个被评为中等影响的问题。没有一个被用于攻击，但如果你受到了漏洞的影响，尽快更新是有意义的。

　　甲骨文

　　4月对企业软件制造商甲骨文(Oracle)来说是一个重要的月份，该公司发布了433个漏洞的修复程序，其中70个被评为严重漏洞。其中包括Oracle GoldenGate风险矩阵中的问题，包括CVE-2022-23457，其CVSS基本得分为9.8。甲骨文在其报告中表示，这个问题可能在没有身份验证的情况下被远程利用。

　　4月份的补丁还包含了针对Oracle Commerce的6个新补丁。甲骨文警告说:“所有这些漏洞都可能在没有身份验证的情况下被远程利用。”

　　由于成功的攻击所造成的威胁，Oracle“强烈建议”客户尽快应用关键补丁更新安全修复程序。

　　思科

　　软件公司思科发布了漏洞修复程序，该漏洞可能允许经过身份验证的本地攻击者逃离受限制的shell并获得底层操作系统的root权限。

　　CVE-2023-20121是一个命令注入漏洞，影响Cisco EPNM、Cisco ISE和Cisco Prime Infrastructure。攻击者可以通过登录设备并发出精心制作的CLI命令来利用该漏洞。“一个成功的漏洞利用可以让攻击者逃离受限制的外壳，并获得受影响设备底层操作系统的root权限，”思科表示，并补充说，攻击者必须是经过认证的外壳用户才能利用这个漏洞。

　　同时，CVE-2023-20122是思科ISE受限制外壳中的命令注入漏洞，允许经过身份验证的本地攻击者逃离受限制外壳并获得底层操作系统的root权限。

　　SAP

　　这是SAP又一个繁忙的补丁日，发布了19个新的安全说明。修复程序包括CVE-2023-27497，其中包含SAP Diagnostics Agent中的多个漏洞。另一个值得注意的补丁是CVE-2023-28765，这是SAP BusinessObjects商业智能平台的一个信息泄露漏洞。安全公司Onapsis表示，缺少密码保护措施会让攻击者访问商业文件。该公司解释说:“在成功解密其内容后，攻击者可以获得用户的密码。”“根据冒充用户的授权，攻击者可以完全破坏系统的机密性、完整性和可用性。”