December was een drukke maand voor updates, omdat bedrijven, waaronder Apple en Google, zich haastten om patches uit te brengen om vóór de feestdagen ernstige tekortkomingen in hun producten te verhelpen.
Enterprise-softwaregiganten hebben ook hun deel van de patches uitgegeven, waarbij Atlassian en SAP in december verschillende kritieke bugs hebben verwijderd.
Dit is wat u moet weten over belangrijke updates die u mogelijk gedurende de maand hebt gemist.
Apple iOS
Half december bracht Apple iOS 17.2 uit, een grote upgrade die onder meer de Journal-app bevat, evenals twaalf beveiligingspatches. Een van de fouten die in iOS 17.2 zijn opgelost, is CVE-2023-42890, een probleem in de WebKit-browser waardoor een aanvaller code kan uitvoeren.
Een andere fout in de kernel van de iPhone, bijgehouden als CVE-2023-4291, zou ertoe kunnen leiden dat een app uit zijn veilige sandbox breekt, schreef Apple op zijn ondersteuningspagina. Ondertussen kunnen twee kwetsbaarheden in ImageIO, CVE-2023-42898 en CVE-2023-42899, leiden tot code-uitvoering.
De iOS 17.2-update heeft ook een mechanisme ingevoerd om Bluetooth-aanvallen te voorkomen met behulp van een penetratietestapparaat genaamd Flipper Zero, volgens tests van ZDNET en 9to5Mac. Een vervelende Denial of Service-cyberaanval kan ervoor zorgen dat er een reeks pop-ups op de iPhone verschijnen en uiteindelijk het apparaat vergrendelen.
Apple heeft ook iOS 16.7.3, Safari 17.2, macOS Sonoma 14.2, macOS Ventura 13.6.3, macOS Monterey 12.7.2, tvOS 17.2 en watchOS 10.2 uitgebracht.
Slechts een week na de release van iOS 17.2 bracht Apple iOS 17.2.1 en iOS 16.7.4 uit voor oudere apparaten, samen met macOS Sonoma 14.2.1. De verrassende iPhone-update bevat niet-gespecificeerde bugs en beveiligingsoplossingen, terwijl de macOS-patch één bug repareert die wordt bijgehouden als CVE-2023-42940.
GoogleAndroid
Het Google Android-beveiligingsbulletin van december was zwaar en loste bijna 100 beveiligingsproblemen op. De update bevat patches voor twee kritieke problemen binnen het Framework, waarvan de ernstigste kunnen leiden tot escalatie van bevoegdheden op afstand zonder dat extra bevoegdheden nodig zijn. Exploitatie vereist volgens Google geen gebruikersinteractie.
CVE-2023-40088 is een kritieke systeemfout die kan leiden tot uitvoering van code op afstand, terwijl CVE-2023-40078 een fout is met betrekking tot misbruik van bevoegdheden die als een grote impact wordt beschouwd.
Google heeft ook een update uitgebracht voor zijn WearOS-smartphoneplatform, waarmee CVE-2023-40094, een kwetsbaarheid, wordt verholpen. Op het moment van schrijven is er nog geen Pixel-beveiligingsbulletin gepubliceerd.
google chroom
Google beëindigde zijn grote decemberupdate in stijl met een hotfix voor zijn Chrome-browser. De achtste zero-day kwetsbaarheid die Chrome in 2024 treft, CVE-2023-7024, is een probleem met heapbufferoverflow in de open source WebRTC-component. Google is “zich ervan bewust dat er in het wild een exploit voor CVE-2023-7024 bestaat”, aldus de browsermaker in een advies.
Het was niet de eerste oplossing die Google in december uitbracht. De softwaregigant bracht halverwege de maand ook een patch voor Chrome uit om negen beveiligingsproblemen op te lossen. Van de door externe onderzoekers gerapporteerde fouten werden er vijf als zeer ernstig beoordeeld, waaronder CVE-2023-6702, een typeverwarringsbug in V8, en vier buiten gebruik gestelde bugs.