.
É a última Patch Tuesday de 2023, que pede comemoração – assim que você atualizar os produtos Windows, Adobe, Google, Cisco, FortiGuard, SAP, VMware, Atlassian e Apple, é claro.
Comecemos pela Apple, já que dois dos bugs divulgados ontem por Cupertino podem já ter sido usados para fins maléficos.
Embora o lançamento do carrinho de frutas em dezembro corrija todos os iThings, há duas vulnerabilidades especialmente preocupantes no mecanismo do navegador WebKit (novamente) que afetam AppleTVs e Apple Watches, além de alguns iPhones e iPads mais antigos. Ambos os bugs já foram corrigidos em vários outros produtos da Apple.
CVE-2023-42916 é uma falha de leitura fora dos limites que pode permitir que criminosos acessem informações confidenciais, e CVE-2023-42917 é uma vulnerabilidade de corrupção de memória que pode levar à execução arbitrária de código. Ambos foram detectados por Clément Lecigne, do Grupo de Análise de Ameaças do Google – o que indica que spyware pode estar envolvido, dadas as tendências do TAG.
“A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS anteriores ao iOS 16.7.1”, comentou o fornecedor sobre ambos os bugs.
E embora Cupertino tenha emitido correções de emergência no final de novembro para corrigir esses problemas de segurança em alguns iPhones, iPads e Macs, os patches emitidos abordam os mesmos CVEs em iPhones e iPads mais antigos, bem como AppleTV HD e AppleTV 4K (todos os modelos) e Apple Watch Series 4 e posterior.
Microsoft encerra um ano de muitos bugs
Enquanto isso, a Microsoft encerrou um ano com muitos bugs com pouco mais de 30 patches do Windows – nenhum dos quais listado como sob ataque ou conhecido publicamente até hoje.
Destes, quatro são classificados como críticos – incluindo três vulnerabilidades de execução remota de código (RCE) e um bug de falsificação – e 29 importantes.
CVE-2023-36019, a vulnerabilidade de falsificação, afeta o componente do servidor web do Microsoft Power Platform e do Azure Logic Apps. Ele obteve a classificação CVSS mais alta neste mês, chegando a 9,6 em 10, e pode permitir que um malfeitor execute código no computador da vítima depois de induzi-la a clicar em um link especialmente criado.
Redmond diz que começou a notificar os clientes afetados no mês passado com notificações no Microsoft 365 Admin Center ou Service Health no Azure Portal. “Você precisará validar seus conectores personalizados e seguir as orientações para fazer a mudança para o URI por conector”, de acordo com a atualização de segurança.
Os outros três bugs de gravidade crítica podem ser abusados pelo RCE. Tanto CVE-2023-35641 quanto CVE-2023-35630 afetam o serviço de compartilhamento de conexão com a Internet e receberam uma classificação CVSS de 8,8. Os ataques contra ambos seriam limitados a sistemas na mesma rede.
A exploração do CVE-2023-3541 exigiria o envio de uma mensagem DHCP especialmente criada para um servidor executando o compartilhamento de conexão com a Internet, enquanto a exploração do CVE-2023-35630 “exige que o invasor modifique um campo de opção-> comprimento em uma mensagem de entrada DHCPv6 DHCPV6_MESSAGE_INFORMATION_REQUEST”, de acordo com para a atualização de segurança.
O último Micro-desagradável crítico, CVE-2023-35628, é um RCE na plataforma Windows MSHTML que pode ser explorado enviando um link malicioso por e-mail e enganando a vítima para que clique no link.
Redmond observa que o Painel de Visualização não é um vetor de ataque em si: “O invasor pode explorar esta vulnerabilidade enviando um e-mail especialmente criado que é acionado automaticamente quando é recuperado e processado pelo cliente Outlook. o painel de visualização.”
E, como acrescenta Dustin Childs, da Zero Day Initiative: “Sem dúvida, as gangues de ransomware tentarão criar uma exploração confiável para esta vulnerabilidade”. O lado bom é que é um ataque bastante complexo de realizar. “Eles podem enfrentar alguns problemas, pois a exploração exige técnicas de modelagem de memória”, escreveu Childs.
A única vulnerabilidade listada como divulgada publicamente no patch party da Microsoft de dezembro é uma falha de vazamento especulativo em alguns processadores AMD rastreada como CVE-2023-20588 e divulgada pela primeira vez em agosto. De acordo com Redmond, as versões mais recentes do Windows permitem a mitigação da AMD.
Adobe aborda 212 buracos
A Adobe corrigiu 212 vulnerabilidades em nove patches que tapam falhas de segurança no Prelude, Illustrator, InDesign, Dimension, Experience Manager, Substance3D Stager, Substance3D Sampler, Substance3D After Effects e Substance3D Designer. Nenhum deles foi explorado na natureza.
A maior parte dos bugs – impressionantes 185 CVEs – estão no Experience Manager e são todos bugs de cross-site scripting (XSS) de classificação importante ou moderada que podem permitir a execução arbitrária de código e o desvio de recursos de segurança.
Patches para Illustrator, Substance 3D Sampler, Substance 3D Designer e After Effects corrigem vulnerabilidades críticas (além de algumas falhas de menor classificação) que podem levar à execução arbitrária de código e vazamento de memória.
O restante das correções da Adobe abordam vulnerabilidades importantes e moderadas no InDesign, Dimension, Substance 3D Stager e Prelude.
Falhas do Google e da Qualcomm sob ataque
As atualizações de segurança de dezembro do Google para Android corrigem 85 vulnerabilidades, incluindo três que “podem estar sob exploração limitada e direcionada”. Todos os três afetam os componentes da Qualcomm: CVE-2023-33063 está no kernel enquanto CVE-2023-33107 e CVE-2023-33106 estão no display.
Em outubro, a Qualcomm alertou que todas essas três falhas estavam sob ataques direcionados – citando informações sobre ameaças do Google TAG e do Project Zero – mas disse que não compartilharia nenhuma informação adicional até dezembro.
Agora temos mais detalhes e patches. Feliz Natal, de fato.
Falha de segurança da SAP ganha blog próprio
A SAP lançou 17 patches de segurança novos e atualizados, incluindo quatro notas HotNews e quatro notas de alta prioridade.
A nova nota HotNews, #3411067, recebeu uma pontuação CVSS de 9,1 e corrige uma escalada crítica de vulnerabilidade de privilégio na Plataforma de Tecnologia de Negócios da SAP (SAP BTP). É bastante crítico que o fornecedor tenha publicado um blog separado sobre a importância da atualização – mas não fornece muitos detalhes sobre a vulnerabilidade em si.
Atlassian, Cisco e Apache Struts
A Atlassian lançou hoje atualizações para corrigir cinco CVEs de alta gravidade com classificação 7,5. Todas essas são falhas de negação de serviço e afetam o Bamboo, Bitbucket, Jira e Confluence Data Center e Server.
Enquanto isso, a Cisco publicou um comunicado de segurança sobre uma vulnerabilidade no Apache Struts que pode afetar uma longa lista de seus produtos que contêm o software – mas observou que ainda está sob investigação.
Apache Struts é uma estrutura de código aberto para o desenvolvimento de aplicativos web Java EE, e a Apache Software Foundation divulgou inicialmente a falha, rastreada como CVE-2023-50164, no início deste mês.
“Um invasor pode manipular parâmetros de upload de arquivo para permitir a travessia de caminhos e, em algumas circunstâncias, isso pode levar ao upload de um arquivo malicioso que pode ser usado para executar a execução remota de código”, explicou a fundação na época. A atualização para Struts 2.5.33 ou Struts 6.3.0.2 ou superior é recomendada.
VMware e FortiGuard juntam-se
E completando a petapalooza de final de ano, a VMware corrigiu uma vulnerabilidade de escalonamento de privilégios de classificação moderada em seu produto VMware Workspace ONE Launcher. O bug, rastreado como CVE-2023-34064, pode permitir que alguém com acesso físico ao Workspace ONE Launcher abuse do recurso Edge Panel, ignore a configuração e obtenha acesso a informações confidenciais.
Além disso, o FortGuard corrigiu uma vulnerabilidade dupla gratuita, CVE-2023-41678, no daemon FortiOS e FortiPAM HTTPSd. Esse bug de alta gravidade pode permitir que um invasor autenticado consiga a execução arbitrária de código por meio de comandos especificamente criados. ®
.
