檢查軟體更新。 3 月份,蘋果的 iOS、谷歌的 Chrome 以及專注於隱私的競爭對手 Firefox 發布了重要補丁。思科、VMware 和 SAP 等企業軟體巨頭也消除了錯誤。
以下是您需要了解的有關 3 月發布的安全性更新的資訊。
蘋果ios
蘋果在三月發布了兩個單獨的補丁,彌補了二月的緩慢表現。本月初,這家 iPhone 製造商發布了 iOS 17.4,修復了 40 多個缺陷,其中兩個已經在現實世界的攻擊中使用。
這個漏洞編號為 CVE-2024-23225,是 iPhone 核心中第一個可能允許攻擊者繞過記憶體保護的漏洞。 iPhone 製造商在其支援頁面上表示:“蘋果公司已獲悉有關此問題可能已被利用的報導。”
第二個缺陷被追蹤為 CVE-2024-23296,存在於 RTKit(AirPods 等裝置中使用的即時作業系統)中,可能允許攻擊者繞過核心記憶體保護。
3月下旬,蘋果發表了第二個軟體更新iOS 17.4.1。這次,兩個 iPhone 軟體缺陷已修復,均追蹤為 CVE-2024-1580。 iOS 17.4.1 中已修復的問題可能允許攻擊者在說服某人與圖像互動時執行程式碼。
iOS 17.4.1 發布後不久,Apple 發布了針對其他裝置的補丁來修復相同的錯誤:Safari 17.4.1、macOS Sonoma 14.4.1 和 macOS Ventura 13.6.6。
谷歌瀏覽器
三月對谷歌來說又是忙碌的一個月,該公司修復了 Chrome 瀏覽器中的多個缺陷。月中旬,Google 發布了 12 個補丁,其中包含對 CVE-2024-2625(一個高嚴重性 V8 物件生命週期問題)的修復。
中度嚴重性問題包括 CVE-2024-2626,這是 Swiftshader 越界讀取錯誤。 CVE-2024-2627,Canvas 釋放後使用缺陷。 CVE-2024-2628,下載中的實作不當問題。
月底,Google 發布了 7 個安全修復程序,其中包括針對 ANGLE 中嚴重的釋放後使用漏洞(編號為 CVE-2024-2883)的修補程式。 另外兩個釋放後使用錯誤(編號為 CVE-2024-2885 和 CVE-2024-2886)已被授予高嚴重性評級。另一方面,CVE-2024-2887 是 WebAssembly 中的型別混淆缺陷。
最後兩個問題已在 Pwn2Own 2024 黑客大賽中被利用,因此您應該盡快更新您的 Chrome 瀏覽器。
火狐瀏覽器
Mozilla 的 Firefox 在修補了 Pwn2Own 所利用的兩個零日漏洞後,度過了忙碌的三月。 CVE-2024-29943 是越界存取繞過問題,CVE-2024-29944 是事件處理程序中的特權 JavaScript 執行缺陷,可能導致沙箱逃逸。這兩個問題都被評為具有重大影響。
本月早些時候,Mozilla 發布了 Firefox 124,該版本解決了 12 個安全性問題,其中包括影響 Windows 作業系統的沙箱逃脫漏洞 CVE-2024-2605。 根據 Mozilla 的說法,攻擊者可能能夠透過使用 Windows Error Reporter 在系統上執行任意程式碼來逃脫沙箱。
CVE-2024-2615 修正了 Firefox 124 中評價為「嚴重」的記憶體安全錯誤。 [they] Mozilla 表示:“它可能被用來執行任意程式碼。”
谷歌安卓
谷歌發布了三月的 Android 安全公告,修復了行動作業系統中的近 40 個問題,其中包括系統組件中的兩個嚴重錯誤。 CVE-2024-0039 是一個遠端程式碼執行漏洞,CVE-2024-23717 是一個特權提升漏洞。
谷歌在公告中表示,“這些問題中最嚴重的可能涉及系統組件中的嚴重安全漏洞,這些漏洞可能導致在沒有額外執行權限的情況下遠端執行程式碼。”
