.
Atualização de terça-feira Happy Patch Tuesday para fevereiro de 2023, que cai no Dia dos Namorados.
A Microsoft está derramando amor, talvez, em equipes de TI com cerca de 75 patches de segurança, nove dos quais são classificados como “críticos” e 66 “importantes”, e três dos quais Redmond diz que estão sob exploração ativa.
Curiosamente, o trio que está sendo aproveitado não são as vulnerabilidades mais críticas que a Microsoft abordou este mês. Dos três que estão sendo explorados, dois têm uma pontuação básica de severidade do CVSS de 7,8 em 10, enquanto o terceiro pontua apenas 7,3. Cinco das outras falhas que receberam uma pontuação CVSS de 9,8 são decididamente piores.
Esses cinco não estão sendo explorados ativamente, enquanto três menos graves estão.
A primeira vulnerabilidade sob ataque ativo, detectada pela Mandiant, é um bug de execução remota de código no Windows Graphics Component que permitiria que um malfeitor executasse comandos com permissões de nível de sistema.
O segundo é um bug no driver do sistema de arquivo de log comum do Windows e permite que um invasor eleve seu acesso para obter privilégios de sistema. A Microsoft não compartilhou nenhum detalhe sobre o problema, infelizmente, mas com ele sob exploração ativa, é uma boa ideia instalar esses patches.
O terceiro sob exploração ativa é grave – pode permitir que um invasor ignore as políticas de segurança de macro do Office – mas a própria explicação da Microsoft sobre a vulnerabilidade mina seu perigo potencial.
O ataque deve ser executado por um usuário local que já esteja autenticado, disse a Microsoft. Se o invasor autenticado puder convencer a vítima a baixar e abrir um arquivo malicioso, a brecha de segurança poderá ser explorada, caso contrário, isso não acontecerá.
Muito mais interessante é a vulnerabilidade CVSS 9.8 no Microsoft Office através da qual um intruso pode usar o painel de visualização do Outlook para lançar um ataque de execução remota de código usando um arquivo RTF malicioso que permitiria a um intruso “obter acesso para executar comandos dentro do aplicativo usado para abrir” o arquivo.
Há também um Vulnerabilidade do serviço de descoberta iSCSItambém classificado como 9,8, que pode permitir que um invasor obtenha privilégios RCE em qualquer máquina de 32 bits em que encontrar o iSCSI DS em execução.
As três vulnerabilidades críticas restantes estão todas no Protocolo de Autenticação Extensível Protegido da Microsoft, que a Zero Day Initiative da Trend Micro observado não é mais muito usado.
“Este volume é relativamente típico para um lançamento de fevereiro. No entanto, é incomum ver metade dos erros de execução de código remoto de endereços de lançamento”, disse Dustin Childs, chefe de conscientização de ameaças da ZDI.
Adobe mistura lama para alguns buracos não tão sérios
A Adobe corrigiu praticamente tudo o que faz este mês, mas nenhum dos 28 CVEs identificados nos nove produtos sendo atualizados tem uma exploração ativa, com a empresa classificando cada atualização como algo que pode ser instalado a critério do administrador de TI.
No topo da lista estava a Adobe Ponteque tinha sete problemas que necessitavam de patches, incluindo leitura/gravação fora dos limites e um estouro de buffer baseado em pilha que poderia levar à execução arbitrária de código ou a um vazamento de memória.
Em seguida no cartão de pontuação foi photoshop, para o qual a Adobe observou cinco vulnerabilidades: um bug de validação de entrada imprópria, dois problemas de gravação fora dos limites e um par de problemas de leitura fora dos limites. Dos cinco, quatro podem ser usados para executar a execução de código arbitrário, enquanto o quinto pode levar a um vazamento de memória. Atualizações para Premier Rush estavam sendo pressionados pelo mesmo motivo.
FrameMaker também está recebendo cinco vulnerabilidades corrigidas – todas semelhantes aos problemas do Photoshop, exceto pelo uso após a vulnerabilidade gratuita, e quatro problemas semelhantes foram encontrados em Depois dos efeitostambém.
Conectar está sofrendo de uma vulnerabilidade de desvio de recurso de segurança, Animar tem um trio de fraquezas de execução de código arbitrário e o InDesign está sendo corrigido contra um ataque de negação de serviço.
Por fim, a ZDI observou que o Adobe Substance 3D também estava recebendo um patch, mas não para nenhum CVEs – é um patch para resolver problemas de bibliotecas de terceiros.
O resto da tripulação do dia V do dia PT
SAP emitido 21 novas notas de segurança hoje, o pior deles sendo uma vulnerabilidade de escalonamento de privilégio CVSS 8.8 no SAP Start Service. Felizmente, isso especial vulnerabilidade exige que o invasor seja autenticado como um usuário local.
Vários outros patches de segurança de fevereiro também foram lançados nos últimos dias/semanas, como o Boletim de segurança do Android de 6 de fevereiro que abordou três CVEs, um em dispositivos Pixel e os outros dois em componentes Qualcomm. A vulnerabilidade do dispositivo Pixel não foi explicada, com o Google apenas dizendo que um patch para o problema estaria “contido nos drivers binários mais recentes para dispositivos Pixel disponíveis no site do desenvolvedor do Google”.
No mundo Apple, mac OS Ventura 13.2.1, iPadOS 16.3.1e iOS 16.3.1mais Safari 16.3 para macOS Big Sur e Monterey, foram lançados este mês para corrigir vários bugs, incluindo uma falha explorada na natureza no WebKit, bem como uma falha que os aplicativos poderiam usar para obter privilégios de kernel.
A Intel precisa de sua própria caixa para seus bugs…
A Intel lançou mais de 30 avisos de segurança no mundo hoje, com atualizações e mitigações para as pessoas instalarem ou seguirem. Aqui está um rápido resumo deles:
CVE-2022-41614: O aplicativo Intel ON Event Series para Android pode vazar informações.
CVE-2022-41314: Alguns softwares de instalação do adaptador de rede Intel podem permitir a escalação de privilégio.
CVE-2021-33104: O software Intel One Boot Flash Utility (OFU) pode ser explorado para impedir que funcione corretamente.
CVE-2022-38090: A tecnologia SGX da Intel, que deveria proteger códigos e dados, pode ser explorada para vazar dados.
CVE-2022-36369: O componente QATzip da Intel’s QuickAssist Technology (QAT) pode ser abusado para escalar privilégios.
CVE-2022-38056: O Intel Endpoint Management Assistant (EMA) pode ser abusado para escalar privilégios.
CVE-2022-27234: O software Computer Vision Annotation Tool (CVAT) mantido pela Intel pode vazar dados.
CVE-2022-27808: Alguns drivers de ferramentas administrativas do controlador Ethernet Intel para Windows podem ser usados de forma abusiva para escalar privilégios.
CVE-2022-36382: Alguns controladores e adaptadores Intel Ethernet podem sofrer falhas maliciosas.
CVE-2022-36397: Alguns drivers Intel QuickAssist Technology (QAT) podem ser explorados para elevar privilégios.
CVE-2022-36416: Alguns drivers Intel Ethernet VMware podem ser explorados para elevar privilégios.
CVE-2022-21163: O Crypto API Toolkit para Intel SGX pode ser explorado para elevar privilégios.
CVE-2022-36287: O software do servidor FPGA Crypto Service (FCS) mantido pela Intel pode travar.
CVE-2022-33196: Alguns processadores Intel Xeon com recursos SGX podem ser explorados para elevar privilégios.
Vulnerabilidades no Integrated Baseboard Management Controller (BMC) e firmware OpenBMC em algumas plataformas Intel podem ser exploradas para obter privilégios ou causar uma negação de serviço (muitos CVEs).
CVE-2022-29523: O Open Cache Acceleration Software (CAS) mantido pela Intel pode travar.
Vulnerabilidades no Intel Media SDK podem ser exploradas para obter privilégios ou travar o software (muitos CVEs).
Vulnerabilidades no software Intel System Usage Report (SUR) podem ser exploradas para obter privilégios ou travar o software (muitos CVEs).
Vulnerabilidades no Intel FPGA SDK para software OpenCL Intel Quartus Prime Pro podem ser exploradas para elevar privilégios (dois CVEs).
Vulnerabilidades nos drivers Intel Iris Xe MAX para Windows podem ser exploradas para vazar dados ou travar (dois CVEs).
Vulnerabilidades no software Intel Battery Life Diagnostic Tool podem ser exploradas para obter privilégios (três CVEs).
CVE-2022-30339: A solução Intel Integrated Sensor pode travar.
Vulnerabilidades no firmware dos Serviços de plataforma de servidor Intel podem ser exploradas para obter escalonamento de privilégio (dois CVEs).
Vulnerabilidades no firmware do BIOS e módulos de código autenticado (ACM) Intel TXT Secure Initialization (SINIT) para alguns processadores Intel podem resultar em escalonamento de privilégio (muitos, muitos CVEs).
Vulnerabilidades no software da edição Intel Quartus Prime Pro e Standard podem ser exploradas para obter escalonamento de privilégio ou divulgação de informações (muitos CVEs).
CVE-2022-21216: Alguns processadores Intel Atom e Xeon Scalable podem ser explorados para obter privilégios.
Bugs no Intel SGX SDK podem ser explorados para vazar dados (dois CVEs).
Vulnerabilidades em alguns kits de ferramentas oneAPI da Intel podem permitir a escalação de privilégio (muitos CVEs).
A AMD divulgou atualizações sobre dois problemas de segurança em seus produtos. CVE-2022-27672 é outra daquelas falhas de execução especulativa de vazamento de dados no estilo Spectre envolvendo threads de hardware e virtualização em alguns de seus processadores Ryzen e Epyc.
Se as condições estiverem corretas, um encadeamento pode extrair informações de outro encadeamento que deveriam estar fora dos limites. A AMD considera que isso será difícil de explorar e que é algo para hipervisores e sistemas operacionais resolverem.
“A AMD acredita que, devido às mitigações existentes aplicadas para resolver outros problemas baseados em especulação, os caminhos teóricos para exploração potencial do CVE-2022-27672 podem ser limitados apenas a ambientes de virtualização selecionados em que uma máquina virtual recebe privilégios especiais”, explicou o designer Ryzen .
“A AMD não está ciente de nenhum exploit real baseado neste comportamento.”
Enquanto isso, CVE-2022-27677 é uma vulnerabilidade de escalonamento de privilégios na ferramenta Ryzen Master da AMD, usada para ajustar o desempenho do sistema. Este bug pode ser explorado durante a instalação deste software para obter controle de nível de administrador sobre a caixa. ®
.
