.
a temporada de férias está quase acabando, mas os patches de segurança ainda continuam a chegar rapidamente em dezembro. O mês viu atualizações lançadas pela Apple, Google e Microsoft, bem como empresas de software empresarial, como SAP, Citrix e VMWare.
Muitos dos patches corrigem vulnerabilidades de dia zero que já estão sendo exploradas em ataques, tornando importante que sejam aplicados o mais rápido possível. Aqui está o resumo de todos os patches lançados em dezembro.
Apple iOS e iPadOS 16.2, iOS 15.7.2, iOS 16.1.2
A Apple lançou uma atualização importante para seu sistema operacional iOS 16 em dezembro: iOS 16.2. A atualização vem com recursos que incluem criptografia de ponta a ponta no iCloud, mas também corrige 35 vulnerabilidades de segurança.
Nenhum dos problemas corrigidos no iOS 16.2 é conhecido por ter sido usado em ataques; no entanto, muitos são muito sérios. As falhas incluem seis no Kernel e nove no mecanismo que alimenta o navegador Safari da Apple, WebKit, que pode permitir que um invasor execute o código.
A Apple também lançou o iOS 15.7.2 para usuários de iPhones mais antigos que não rodam o iOS 16, corrigindo uma falha que já estava sendo usada em ataques. Rastreada como CVE-2022-42856, a vulnerabilidade do WebKit pode permitir que um invasor execute código, de acordo com a página de suporte da Apple. No final de novembro, a Apple corrigiu a mesma falha do WebKit no iOS 16.1.2.
Desde o lançamento do iOS 16, em setembro, a Apple oferece atualizações de segurança para quem não deseja atualizar para o novo sistema operacional. Mas o iOS 15.7.2 é apenas para iPhones mais antigos, portanto, se você possui um iPhone 8 ou superior, agora precisa atualizar para o iOS 16 para se manter seguro.
A fabricante do iPhone também lançou macOS Ventura 13.1, watchOS 9.2, tvOS 16.2, macOS Big Sur 11.7.2, macOS Monterey 12.6.2 e Safari 16.2.
Google Android
Dezembro foi um mês de patch pesado para o sistema operacional Android do Google, com correções para dezenas de vulnerabilidades de segurança lançadas durante o mês. Rastreado como CVE-2022-20411, o mais grave é uma vulnerabilidade crítica no componente do sistema que pode levar à execução remota de código por Bluetooth sem a necessidade de privilégios de execução adicionais, disse o Google em um boletim de segurança.
O Google também corrigiu duas falhas críticas no componente Android Framework, CVE-2022-20472 e CVE-2022-20473. Enquanto isso, 151 bugs específicos do Pixel foram corrigidos pelo Google em dezembro.
O patch de dezembro está disponível para os dispositivos Pixel do próprio Google, bem como para smartphones Samsung, incluindo a linha Galaxy, carro-chefe da fabricante de hardware.
Google Chrome 108
O Google emitiu uma atualização de emergência para seu navegador Chrome para corrigir a nona vulnerabilidade de dia zero do ano. Rastreado como CVE-2022-4262, o problema de confusão de tipo de alta gravidade no mecanismo JavaScript V8 do Chrome pode permitir que um invasor remoto explore a corrupção de heap por meio de uma página HTML criada. “O Google está ciente de que existe um exploit para CVE-2022-4262”, disse o fabricante do navegador em um blog.
A atualização de emergência chegou poucos dias depois que o Google lançou o Chrome 108, corrigindo 28 falhas de segurança. Entre as correções estão o CVE-2022-4174 – uma falha de confusão de tipo no V8 – e vários bugs de uso após a liberação. Nenhuma dessas vulnerabilidades foi explorada em ataques, de acordo com o Google. Mas como o bug mais recente já está nas mãos dos invasores, é uma boa ideia atualizar o Chrome o mais rápido possível.
Microsoft Patch terça-feira
O Patch Tuesday de dezembro da Microsoft foi outro grande problema, corrigindo 49 vulnerabilidades de segurança, incluindo uma falha usada em ataques. Rastreado como CVE-2022-44698, o problema é uma vulnerabilidade de desvio do recurso de segurança do Windows SmartScreen que pode levar à perda de integridade e disponibilidade.
“Um invasor pode criar um arquivo malicioso que evitaria as defesas do Mark of the Web (MOTW), resultando em uma perda limitada de integridade e disponibilidade de recursos de segurança, como o Protected View no Microsoft Office, que depende da marcação MOTW”, disse a Microsoft.
.
