11月，苹果iOS、谷歌Chrome、Firefox和微软Windows等发布了修补多个安全漏洞的补丁。其中一些问题相当严重，有些问题已经被攻击者利用了。

以下是你需要知道的关于过去一个月发布的所有重要更新。

苹果iOS和iPadOS 16.1.1

苹果公司已经发布了iOS和iPadOS 16.1.1, iPhone制造商建议所有用户使用。该补丁修复了两个安全漏洞——考虑到发布的速度，您可以假设它们相当严重。

根据苹果公司的支持页面，libxml2软件库中的这两个漏洞被跟踪为CVE-2022-40303和CVE-2022-40304，攻击者可以远程执行代码。这两个问题都是由谷歌's Project Zero的安全研究人员报告的。

对于Mac用户，macOS Ventura 13.0.1解决了这些缺陷。

好消息是，攻击者相信这两个漏洞都没有被利用，但尽快应用更新仍然是一个好主意。

微软视窗系统

微软11月的补丁周二是另一个重大发布，Windows制造商修复了68个漏洞，其中4个是零日漏洞。

第一个漏洞被跟踪为CVE-2022-41073，是一个Windows打印假脱机程序特权提升漏洞，可以允许网络犯罪分子获得系统特权。同时，CVE-2022-41125是Windows加密下一代密钥隔离问题，可能允许对手升级特权并获得对系统的控制。CVE-2022-41128是一个Windows脚本语言漏洞，可能导致远程代码执行。最后，CVE-2022-41091是微软Web标记安全功能中的一个漏洞。

谷歌安卓

谷歌Android设备的用户将在11月迎来更多重大更新，谷歌针对多个漏洞发布了补丁，其中一些漏洞很严重。谷歌在一份安全咨询报告中表示，最严重的漏洞是框架组件中的一个高度严重漏洞，可能导致本地权限升级。

11月的补丁包括两个谷歌Play系统更新，用于解决影响媒体框架组件(CVE-2022-2209)和WiFi (CVE-2022-20463)的问题。谷歌还修复了影响其Pixel设备的五个问题。

安卓系统的更新已经开始推广到三星的设备上，包括第三代和第四代Galaxy可折叠设备。您可以在设置中检查更新。

谷歌Chrome

世界上最受欢迎的浏览器继续成为攻击者的主要目标，本月谷歌修复了今年的第8个零日漏洞。

该漏洞被跟踪为CVE-2022-4135，是由谷歌自己的威胁分析小组的研究人员Clement Lecigne报告的GPU堆缓冲区溢出。谷歌表示，它“意识到CVE-2022-4135存在漏洞。”

本月早些时候，谷歌发布了更新，修复了10个Chrome漏洞，其中6个被评为高严重程度。这些漏洞包括四个释放后使用的漏洞:CVE-2022-3885、CVE-2022-3886、CVE-2022-3887和CVE-2022-3888。同时，CVE-2022-3889是V8中的“类型混淆”问题，CVE-2022-3890是Crashpad中的堆缓冲区溢出。

Mozilla Firefox

11月也是谷歌Chrome浏览器竞争对手Firefox的重要月份。Mozilla发布了Firefox 107，修复了19个安全漏洞，其中8个被标记为具有重大影响。

最重要的补丁之一是针对CVE-2022-45404的，这是一种全屏通知绕过，可能允许攻击者在用户看不到通知提示的情况下导致窗口全屏。这可能会导致欺骗攻击。与此同时，几个免费后使用的漏洞可能会导致可利用的崩溃，一个漏洞可能会被利用来运行任意代码。

VMWare

软件制造商VMWare针对其VMWare Workspace ONE Assist中的多个安全漏洞发布了安全补丁，其中三个漏洞的CVSSv3基础评分为9.8。第一个是CVE-2022-31685，是一个身份验证绕过漏洞。VMWare在一份报告中警告说:“对Workspace ONE Assist具有网络访问权限的恶意行为者可能能够获得管理访问权限，而无需对应用程序进行身份验证。”

一个被跟踪为CVE-2022-31686的身份验证方法漏洞可以使具有网络访问权限的恶意行为者在不需要身份验证的情况下获得管理员访问权限。