.
O ciclo de patches de verão não mostra sinais de desaceleração, com os gigantes da tecnologia Apple, Google e Microsoft lançando várias atualizações para corrigir falhas usadas em ataques da vida real. Julho também viu bugs graves eliminados pelas empresas de software empresarial SAP, Citrix e Oracle.
Aqui está tudo o que você precisa saber sobre os principais patches lançados durante o mês.
Apple iOS e iPadOS 16.6
A Apple teve um julho movimentado depois de lançar duas atualizações de segurança separadas durante o mês. A primeira atualização do fabricante do iPhone veio na forma de um patch de resposta rápida de segurança apenas para segurança.
Foi apenas a segunda vez que a Apple emitiu uma Resposta Rápida de Segurança, e o processo não foi tão tranquilo quanto na primeira. Em 10 de julho, a Apple liberou o iOS 16.5.1 9(a) para corrigir uma única falha do WebKit já sendo usado em ataques, mas a fabricante do iPhone rapidamente o retratou após descobrir que o patch quebrou diversos sites para os usuários. A Apple relançou a atualização como iOS 16.5.1 (c) alguns dias depois, finalmente corrigindo o problema do WebKit sem quebrar mais nada.
No final do mês, a principal atualização do ponto iOS 16.6 da Apple apareceu com 25 correções de segurança, incluindo o bug do WebKit já explorado corrigido no iOS 16.5.1 (c), rastreado como CVE-2023-37450.
Entre os outros bugs eliminados no iOS 16.6 estão 11 no Kernel no núcleo do sistema operacional iOS, um dos quais a Apple disse que já está sendo usado em ataques. A falha do Kernel é o terceiro problema do iOS descoberto pela equipe de segurança Kaspersky como parte dos ataques de “spyware de triangulação” com clique zero.
A Apple também lançou o iOS 15.7.8 para usuários de dispositivos mais antigos, bem como iPadOS 16.6, Safari 16.6, macOS Ventura 13.5, macOS Monterey 12.6.8, macOS Big Sur 11.7.9, tvOS 16.6 e watchOS 9.6.
Microsoft
O Patch Tuesday de julho da Microsoft é uma atualização a ser observada porque corrige 132 vulnerabilidades, incluindo várias falhas de dia zero. Primeiras coisas primeiro: um dos bugs detalhados na atualização do patch, rastreado como CVE-2023-36884, ainda não foi corrigido. Enquanto isso, a gigante da tecnologia ofereceu medidas para mitigar a falha já explorada, que aparentemente foi usada em ataques de uma gangue russa de crimes cibernéticos.
Outras falhas de dia zero incluídas no Patch Tuesday da Microsoft são CVE-2023-32046, um bug de elevação de privilégio de plataforma no componente principal do Windows MSHTML, e CVE-2023-36874, uma vulnerabilidade no serviço Windows Error Reporting que pode permitir que um invasor para obter direitos de administrador. Enquanto isso, CVE-2023-32049 é uma vulnerabilidade já explorada no recurso Windows SmartScreen.
Nem é preciso dizer que você deve atualizar o mais rápido possível, mantendo-se atento à correção do CVE-2023-36884.
Google Android
O Google atualizou seu sistema operacional Android, corrigindo dezenas de vulnerabilidades de segurança, incluindo três que diz “podem estar sob exploração limitada e direcionada”.
A primeira das vulnerabilidades já exploradas é a CVE-2023-2136, um bug de execução remota de código (RCE) no sistema com pontuação CVSS de 9,6. A vulnerabilidade crítica de segurança pode levar ao RCE sem a necessidade de privilégios adicionais, de acordo com a empresa de tecnologia. “A interação do usuário não é necessária para a exploração”, alertou o Google.
CVE-2023-26083 é um problema no driver de GPU Arm Mali para chips Bifrost, Avalon e Valhall, classificado como tendo um impacto moderado. A vulnerabilidade foi usada para fornecer spyware a dispositivos Samsung em dezembro de 2022.
CVE-2021-29256 é uma falha de alta gravidade que também afeta os drivers do kernel da GPU Bifrost e Midgard Arm Mali.
As atualizações do Android já chegaram aos dispositivos Pixel da Google e a alguns da gama Galaxy da Samsung. Dada a gravidade dos bugs deste mês, é uma boa ideia verificar se a atualização está disponível e instalá-la agora.
Google Chrome 115
O Google lançou a atualização Chrome 115 para seu popular navegador, corrigindo 20 vulnerabilidades de segurança, quatro das quais são classificadas como de alto impacto. CVE-2023-3727 e CVE-2023-3728 são bugs use-after-free no WebRTC. A terceira falha classificada como de alta gravidade é a CVE-2023-3730, uma vulnerabilidade de uso após a liberação nos grupos de guias, enquanto a CVE-2023-3732 é um bug de acesso à memória fora dos limites no Mojo.
Seis das falhas estão listadas como de gravidade média e nenhuma das vulnerabilidades foi usada em ataques da vida real. Mesmo assim, o Chrome é uma plataforma altamente segmentada, portanto, verifique se há atualizações em seu sistema.
.
