.
Atualizações de software de verão estão chegando rápido e grosso, com Apple, Google e Microsoft emitindo vários patches para falhas de segurança graves em junho. As empresas de software corporativo também estão ocupadas, com correções lançadas para falhas assustadoras nos produtos MOVEit da VMWare, Cisco, Fortinet e Progress Software.
Um número significativo de bugs de segurança eliminados durante o mês está sendo usado em ataques da vida real, então leia, tome nota e corrija seus sistemas afetados o mais rápido possível.
Maçã
Logo após o iOS 16.5, junho viu o lançamento de uma atualização de emergência do iPhone, o iOS 16.5.1. A atualização mais recente do iPhone corrige vulnerabilidades de segurança no WebKit, o mecanismo que sustenta o Safari, e no kernel no coração do sistema iOS.
Rastreados como CVE-2023-32439 e CVE-2023-32434, ambos os problemas são bugs de execução de código e foram usados em ataques da vida real, disse a Apple em sua página de suporte.
Embora os detalhes sobre as falhas já exploradas sejam limitados, a equipe de segurança Kaspersky revelado como o problema do kernel foi usado para realizar ataques de “iOS Triangulation” contra sua equipe. Impactantes porque não exigem interação do usuário, os ataques de “clique zero” usam um iMessage invisível com um anexo malicioso para entregar spyware.
A Apple também lançou o iOS 15.7.7 para iPhones mais antigos corrigindo os problemas do Kernel e do WebKit, bem como uma segunda falha do WebKit rastreada como CVE-2023-32435 – que também foi relatada pela Kaspersky como parte dos ataques de triangulação do iOS.
Enquanto isso, a Apple lançou o Safari 16.5.1, macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, watchOS 9.5.2 e watchOS 8.8.1.
Microsoft
O Patch Tuesday de meados de junho da Microsoft inclui atualizações de segurança para 78 vulnerabilidades, incluindo 28 bugs de execução remota de código (RCE). Embora alguns dos problemas sejam sérios, é o primeiro Patch Tuesday desde março que não inclui nenhuma falha já explorada.
Os problemas críticos corrigidos na atualização de junho incluem CVE-2023-29357, uma vulnerabilidade de elevação de privilégio no Microsoft SharePoint Server com uma pontuação CVSS de 9,8. “Um invasor que obteve acesso a tokens de autenticação JWT falsificados pode usá-los para executar um ataque de rede que contorna a autenticação e permite que eles obtenham acesso aos privilégios de um usuário autenticado”, disse a Microsoft.
“O invasor não precisa de privilégios, nem o usuário precisa executar nenhuma ação”, acrescentou.
Enquanto isso, CVE-2023-32031 e CVE-2023-28310 são vulnerabilidades de execução remota de código do Microsoft Exchange Server que exigem que um invasor seja autenticado para explorar.
Google Android
É hora de atualizar seu dispositivo Google Android, pois a gigante da tecnologia lançou seu boletim de segurança de junho. O problema mais sério corrigido pelo Google é uma vulnerabilidade de segurança crítica no componente do sistema, rastreada como CVE-2023-21108, que pode levar ao RCE sobre Bluetooth sem a necessidade de privilégios de execução adicionais. Outra falha no sistema rastreada como CVE-2023-21130 é um bug RCE também marcado como crítico.
Uma das falhas corrigidas na atualização de junho é a CVE-2022-22706, uma vulnerabilidade nos componentes do Arm que a fabricante de chips corrigiu em 2022 depois de já ter sido usada em ataques.
.
