.
Agosto acabou o verão em grande estilo com vários patches emitidos pela Microsoft, Google Chrome e seu concorrente Firefox para corrigir problemas sérios, alguns dos quais estão sendo usados em ataques.
Embora não houvesse nenhuma atualização do Apple iPhone no momento em que este artigo foi escrito, algumas correções empresariais importantes foram lançadas durante o mês. Isso inclui patches para falhas exploradas em produtos Ivanti, bem como correções para vulnerabilidades em software SAP e Cisco.
Leia tudo o que você precisa saber sobre os patches lançados em agosto.
Microsoft
O patch de agosto da Microsoft na terça-feira viu a gigante do software corrigindo dezenas de vulnerabilidades, incluindo duas já usadas em ataques no mundo real. A primeira é uma atualização do Defense in Depth para CVE-2023-36884, uma falha de execução remota de código (RCE) no Windows Search que pode permitir que invasores contornem o recurso de segurança Mark of the Web da Microsoft. Se parece familiar, é porque a Microsoft já corrigiu a vulnerabilidade em julho. Mas a instalação da atualização mais recente “interrompe a cadeia de ataque” que leva ao problema, disse a Microsoft.
A segunda falha, CVE-2023-38180, é um problema no .NET e no Visual Studio que pode permitir que um adversário realize negação de serviço.
Seis dos problemas corrigidos no Patch Tuesday de agosto são classificados como críticos, incluindo CVE-2023-36895 – uma falha RCE no cliente de e-mail Outlook. Enquanto isso, CVE-2023-35385, CVE-2023-36910 e CVE-2023-36911 são problemas de RCE no serviço Microsoft Message Queuing, de acordo com o Guia de Atualização de Segurança.
O quinto e o sexto problemas críticos corrigidos pela Microsoft em agosto são CVE-2023-29328 e CVE-2023-29330, ambos falhas de RCE no Teams.
Google Chrome
Agosto começou com uma série de atualizações para o Chrome 115, incluindo nove classificadas como de alto impacto. Os 17 patches incluem três falhas de confusão de tipo no V8: CVE-2023-4068, CVE-2023-4069 e CVE-2023-4070. E CVE-2023-4071 é um problema de estouro de buffer de heap no Visuals e CVE-2023-4076 é uma falha de uso após liberação no WebRTC.
Algumas semanas depois, o Google lançou o Chrome 116 para corrigir 26 vulnerabilidades, oito das quais são classificadas como de alto impacto. Os problemas mais sérios incluem CVE-2023-2312 – um bug de uso após liberação off-line – e CVE-2023-4349, uma falha de uso após liberação em Device Trust Connectors. Um terceiro, CVE-2023-4350, é um bug de implementação inadequado em tela cheia.
Então, em 23 de agosto, o Google lançou a primeira de suas atualizações de segurança semanais mais regulares, corrigindo cinco falhas. As quatro vulnerabilidades classificadas como de alto impacto incluem dois bugs de uso após liberação e dois problemas de acesso à memória fora dos limites.
Raposa de fogo
O concorrente do Google Chrome, Firefox, focado na privacidade, também teve um agosto agitado, corrigindo mais de uma dúzia de vulnerabilidades no Firefox 116. Os problemas corrigidos pela Mozilla, proprietária do Firefox, incluem CVE-2023-4045, um problema no Offscreen Canvas classificado como alto, e CVE-2023 -4047, um bug no cálculo de atraso de notificações pop-up que poderia permitir que um invasor enganasse um usuário para que concedesse permissões.
A atualização também corrige bugs de segurança de memória rastreados como CVE-2023-4056, CVE-2023-4057 e CVE-2023-4058. As falhas corrigidas na última atualização “mostraram evidências de corrupção de memória”, disse a Mozilla. “Presumimos que, com esforço suficiente, alguns deles poderiam ter sido explorados para executar código arbitrário.”
Android
O Google lançou 40 atualizações para seu sistema operacional Android, incluindo patches para falhas graves no Framework, Sistema e Kernel. Rastreado como CVE-2023-21273, o bug mais grave corrigido em agosto é uma vulnerabilidade crítica de segurança no componente do sistema que pode levar ao RCE sem a necessidade de privilégios de execução adicionais. A interação do usuário não é necessária para a exploração, disse o Google em seu Boletim de Segurança do Android.
Enquanto isso, CVE-2023-21282 é uma falha RCE na Estrutura de Mídia, também marcada como tendo um impacto crítico. Outro problema crítico no Kernel, rastreado como CVE-2023-21264, pode levar ao escalonamento local de privilégios, embora sejam necessários privilégios de execução do sistema.
.
