يتوفر تصحيح أمان Android لأجهزة Pixel من Google ، والتي لها تحديثات محددة خاصة بها ، ونطاق Galaxy من Samsung ، بما في ذلك Samsung Galaxy Note 10 و Galaxy S21 و Galaxy A73. يمكنك التحقق من التحديث في الإعدادات الخاصة بك.
مايكروسوفت باتش الثلاثاء
قامت Microsoft بإصلاح مشكلة أمنية ضخمة إلى حد ما 98 في أول تصحيح لها يوم الثلاثاء من العام ، بما في ذلك ثغرة أمنية تم استغلالها بالفعل: CVE-2023-21674 هو زيادة في عيب الامتياز الذي يؤثر على استدعاء الإجراءات المحلية المتقدمة لـ Windows والذي قد يؤدي إلى هروب وضع الحماية للمتصفح.
من خلال استغلال الخطأ ، يمكن للخصم الحصول على امتيازات النظام ، كما كتبت Microsoft ، مؤكدة أنه تم اكتشاف الخلل في هجمات حقيقية.
من السهل نسبيًا استغلال ارتفاع آخر في الثغرة الأمنية في واجهة مستخدم مدير بيانات الاعتماد في Windows ، CVE-2023-21726 ، ولا يتطلب أي تفاعل من المستخدم.
شهد يوم الثلاثاء من تصحيح شهر يناير أيضًا قيام Microsoft بإصلاح تسع ثغرات أمنية في Windows Kernel ، ثمانية منها هي مشكلات تتعلق بالامتيازات وثغرة واحدة في الكشف عن المعلومات.
موزيلا فايرفوكس
أصدرت شركة البرمجيات Mozilla تحديثات مهمة لمتصفح Firefox ، وكان أخطرها موضوع تحذير من وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA).
من بين العيوب الـ 11 التي تم إصلاحها في Firefox 109 ، تم تصنيف أربعة عيوب على أنها ذات تأثير كبير ، بما في ذلك CVE-2023-23597 ، وهو خطأ منطقي في تخصيص العملية يمكن أن يسمح للخصوم بقراءة ملفات عشوائية. وفي الوقت نفسه ، قالت موزيلا إن فريقها الأمني وجد أخطاءً تتعلق بأمان الذاكرة في Firefox 108. وكتبت: “أظهرت بعض هذه الأخطاء دليلًا على تلف الذاكرة ونفترض أنه ببذل جهد كافٍ ، يمكن استغلال بعضها لتشغيل تعليمات برمجية عشوائية”.
وقالت CISA في استشاريها إن المهاجم قد يستغل بعض نقاط الضعف هذه للسيطرة على نظام متأثر. “تشجع CISA المستخدمين والمسؤولين على مراجعة إرشادات أمان Mozilla لكل من Firefox ESR 102.7 و Firefox 109 للحصول على مزيد من المعلومات وتطبيق التحديثات الضرورية.”
برنامج VMWare
قامت شركة VMWare لصناعة برامج المؤسسات بنشر استشارة أمان توضح بالتفصيل أربعة عيوب تؤثر على منتجها VMware vRealize Log Insight. تم تتبعه كـ CVE-2022-31706 ، الأول هو ثغرة أمنية لاجتياز الدليل مع درجة أساسية لـ CVSSv3 تبلغ 9.8. من خلال استغلال الخلل ، يمكن لممثل ضار غير مصدق عليه حقن الملفات في نظام التشغيل من جهاز متأثر ، مما يؤدي إلى RCE ، كما يقول VMWare.
وفي الوقت نفسه ، فإن ثغرة RCE للتحكم في الوصول المعطلة التي تم تتبعها مثل CVE-2022-31704 لها أيضًا درجة أساسية CVCCv3 تبلغ 9.8. وغني عن البيان أن المتضررين من هذه الثغرات الأمنية يجب تصحيحها في أقرب وقت ممكن.
وحي
أصدرت شركة البرمجيات العملاقة أوراكل تصحيحات لعدد ضخم من الثغرات الأمنية البالغ عددها 327 ، تم تصنيف 70 منها على أنها ذات تأثير بالغ الأهمية. من المثير للقلق أن 200 من المشكلات التي تم تصحيحها في يناير يمكن استغلالها بواسطة مهاجم بعيد غير مصادق.
توصي شركة Oracle الأشخاص بتحديث أنظمتهم في أقرب وقت ممكن ، محذرة من أنها تلقت تقارير عن “محاولات استغلال ضار للثغرات الأمنية التي أصدرت Oracle بالفعل تصحيحات أمان لها”.
في بعض الحالات ، تم الإبلاغ عن نجاح المهاجمين لأن العملاء المستهدفين فشلوا في تطبيق تصحيحات Oracle المتاحة ، كما تقول.
العصارة
شهد يوم التصحيح لشهر يناير من SAP إصدار 12 ملاحظة أمنية جديدة ومحدثة. مع درجة CVSS 9.0 ، تم تصنيف CVE-2023-0014 على أنه أخطر خطأ من قبل شركة الأمن Onapsis. يقول Onapsis إن الخلل يؤثر على غالبية عملاء SAP ويمثل التخفيف من حدته تحديًا.
تعتبر ثغرة الالتقاط وإعادة العرض مخاطرة لأنها قد تسمح للمستخدمين الضارين بالوصول إلى نظام SAP. يوضح Onapsis قائلاً: “يتضمن التصحيح الكامل للثغرة الأمنية تطبيق تصحيح kernel ، وتصحيح ABAP ، والترحيل اليدوي لجميع وجهات RFC و HTTP الموثوقة”.
