في وقت لاحق من شهر يناير، أصدرت Google Chrome 121 للقناة الثابتة، مما أدى إلى إصلاح 17 مشكلة أمنية، تم تصنيف ثلاث منها على أنها ذات تأثير كبير. وتشمل هذه الثغرة CVE-2024-0807، وهي ثغرة لا يمكن استخدامها بعد الاستخدام في WebAudio، وCVE-2024-0812، وهي ثغرة أمنية غير مناسبة في إمكانية الوصول. الثغرة الأمنية الأخيرة عالية التأثير هي CVE-2024-0808، وهي عبارة عن تدفق عدد صحيح في WebUI.
من الواضح أن هذه التحديثات مهمة، لذا تحقق منها وقم بتطبيقها في أقرب وقت ممكن.
مايكروسوفت
يعمل برنامج التصحيح لشهر يناير من Microsoft يوم الثلاثاء على القضاء على ما يقرب من 50 خطأ في برامجها الشهيرة، بما في ذلك 12 خطأ في تنفيذ التعليمات البرمجية عن بعد (RCE).
من المعروف أنه لم يتم استخدام أي ثغرات أمنية في مجموعة التحديثات لهذا الشهر في الهجمات، ولكن العيوب الملحوظة تشمل CVE-2024-20677، وهو خطأ في Microsoft Office قد يسمح للمهاجمين بإنشاء مستندات ضارة باستخدام ملفات نموذج FBX 3D المضمنة لتنفيذها شفرة.
للتخفيف من هذه الثغرة الأمنية، تم تعطيل القدرة على إدراج ملفات FBX في Word وExcel وPowerPoint وOutlook لنظامي التشغيل Windows وMac. وقالت مايكروسوفت إن إصدارات Office التي تم تمكين هذه الميزة بها لن تتمكن بعد الآن من الوصول إليها.
وفي الوقت نفسه، CVE-2024-20674 عبارة عن ثغرة أمنية لتجاوز ميزة أمان Windows Kerberos تم تصنيفها على أنها حرجة بدرجة CVSS تبلغ 8.8. وقالت مايكروسوفت إنه في أحد سيناريوهات هذه الثغرة الأمنية، يمكن للمهاجم إقناع الضحية بالاتصال بتطبيق ضار يتحكم فيه المهاجم. وأضافت شركة البرمجيات العملاقة: “عند الاتصال، يمكن للخادم الخبيث أن يعرض البروتوكول للخطر”.
موزيلا فايرفوكس
في أعقاب منافسها المهيمن على السوق Chrome، قام متصفح Mozilla’s Firefox بتصحيح 15 ثغرة أمنية في آخر تحديث له. تم تصنيف خمسة من الأخطاء على أنها ذات خطورة عالية، بما في ذلك CVE-2024-0741، وهي مشكلة كتابة خارج الحدود في Angle والتي قد تسمح للمهاجم بإتلاف الذاكرة، مما يؤدي إلى تعطل قابل للاستغلال.
قد تتسبب أيضًا قيمة الإرجاع غير المحددة في كود مصافحة TLS التي يتم تتبعها كـ CVE-2024-0743 في حدوث عطل يمكن استغلاله.
يغطي CVE-2024-0755 أخطاء سلامة الذاكرة التي تم إصلاحها في Firefox 122 وFirefox ESR 115.7 وThunderbird 115.7. وقالت موزيلا: “أظهرت بعض هذه الأخطاء دليلاً على تلف الذاكرة، ونفترض أنه بجهد كافٍ كان من الممكن استغلال بعض هذه الأخطاء لتشغيل تعليمات برمجية عشوائية”.
سيسكو
قامت شركة Cisco العملاقة لبرمجيات المؤسسات بتصحيح ثغرة أمنية في العديد من منتجات Cisco Unified Communications وContact Center Solutions التي قد تسمح لمهاجم بعيد غير مصادق عليه بتنفيذ تعليمات برمجية عشوائية على جهاز متأثر.
وقالت شركة Cisco، التي تم تتبعها باسم CVE-2024-20253 ومع درجة CVSS هائلة تبلغ 9.9، إن المهاجم يمكنه استغلال الثغرة الأمنية عن طريق إرسال رسالة معدة إلى منفذ استماع لجهاز متأثر.
وقالت شركة Cisco: “إن الاستغلال الناجح قد يسمح للمهاجم بتنفيذ أوامر عشوائية على نظام التشغيل الأساسي مع امتيازات مستخدم خدمات الويب”. وحذر من أنه “من خلال الوصول إلى نظام التشغيل الأساسي، يمكن للمهاجم أيضًا إنشاء وصول إلى الجذر على الجهاز المصاب”.
العصارة
أصدرت SAP 10 إصلاحات أمنية جديدة كجزء من يوم التصحيح الأمني لشهر يناير، والذي يتضمن العديد من المشكلات التي حصلت على درجة CVSS تبلغ 9.1. CVE-2023-49583 هي مشكلة تتعلق بتصعيد الامتياز في التطبيقات التي تم تطويرها من خلال SAP Business Application Studio وSAP Web IDE Full-Stack وSAP Web IDE لـ SAP HANA.
وفي الوقت نفسه، تعد CVE-2023-50422 وCVE-2023-49583 من مشكلات تصعيد الامتياز في SAP Edge Integration Cell.
عيب آخر ملحوظ هو CVE-2024-21737، وهي ثغرة أمنية لإدخال التعليمات البرمجية في SAP Application Interface Framework، والتي حصلت على درجة CVSS تبلغ 8.4. وقالت شركة Onapsis الأمنية: “تسمح الوحدة الوظيفية الضعيفة للتطبيق للمهاجم بالانتقال عبر طبقات مختلفة وتنفيذ أوامر نظام التشغيل مباشرة”. “يمكن أن تتسبب عمليات الاستغلال الناجحة في إحداث تأثير كبير على سرية التطبيق وسلامته وتوافره.”
