.
Atualização de terça-feira A Microsoft corrigiu hoje 130 vulnerabilidades listadas em CVE em seus produtos – e cinco desses bugs já foram explorados na natureza.
Uma lista completa de atualizações e avisos de segurança no lote Patch Tuesday deste mês pode ser encontrado aqui do gigante de TI, ou aqui da ZDI. Em resumo, há correções para Windows, Office, .NET e Visual Studio, Azure Active Directory e DevOps, Dynamics, drivers de impressora, servidor DNS de Redmond e área de trabalho remota.
Das 130 vulnerabilidades, nove são consideradas críticas e muitas das demais são relativamente sérias. Vamos começar com aqueles sob ataque ativo.
Primeiro, há CVE-2023-36884: uma falha de execução de código remoto que pode ser explorada por arquivos do Microsoft Office criados com códigos maliciosos. Conseguir que um alvo abra um desses documentos em uma máquina vulnerável resultará no comprometimento do PC.
Crucialmente, ainda não há patch para CVE-2023-36884, e um pode ser fornecido por meio de uma atualização de emergência ou de um Patch Tuesday programado para o futuro, nos disseram. A Microsoft veio a público com alguns detalhes da falha porque uma tripulação russa, apelidada de Storm-0978, aparentemente usou a vulnerabilidade para participantes alvo do curso cúpula da OTAN na Lituânia sobre a invasão russa da Ucrânia.
Tempestade-0978, também conhecida como RomCom e DEV-0978, é conhecido por realizar campanhas oportunistas de ransomware – infectando organizações vulneráveis conforme os criminosos as encontram – além de atacar alvos específicos para coletar suas credenciais de acesso para a inteligência russa, de acordo com a Microsoft. Juntamente com os sistemas de TI do governo, o Storm-0978 também supostamente atacou organizações de telecomunicações e financeiras na Europa e nos EUA.
“A Microsoft está ciente de ataques direcionados que tentam explorar essas vulnerabilidades usando documentos do Microsoft Office especialmente criados”, disse a gigante do Windows em seu comunicado. Como ainda não há solução, Redmond pediu às pessoas que usem o bom e velho bloqueio de anexos.
Os outros quatro problemas ativamente explorados têm patches disponíveis e são convenientemente divididos em duas categorias: desvios de recursos de segurança de software e problemas de escalonamento de privilégios.
Vamos começar com os desvios de segurança: CVE-2023-32049 em Telas Inteligentes do Windowse CVE-2023-35311 em Microsoft Outlook. Em ambos os casos, clicar em um URL criado com códigos maliciosos fará com que o PC da vítima seja comprometido.
E para escalação de privilégio: CVE-2023-32046 no MSHTML mecanismo do navegador e CVE-2023-36874 no Windows Serviço de relatórios de erros. No caso do mecanismo do navegador, enganar uma marca para abrir um arquivo especialmente criado – como um anexo de e-mail ou um arquivo incorporado em uma página da web – é suficiente para desencadear a exploração.
Quanto aos outros, há dezenas deles. De falhas de execução de código remoto em Microsoft Access e SharePoint Server (apesar de exigir autenticação), a vários buracos de elevação de privilégio no nível do kernel. Verifique as listas de produtos de seu interesse.
Apple estraga outra resposta rápida de segurança
Coincidentemente, a Apple publicou os chamados patches Rapid Security Response (RSR) um dia antes do Patch Tuesday para vulnerabilidades do Webkit em iOS/iPadOS e Mac OS.
Infelizmente, esses patches eram bons demais para bloquear o conteúdo da Web que poderia causar a execução arbitrária de códigos em dispositivos vulneráveis, e hoje Cupertino disse aos usuários que eles podem querer desinstalar o RSR se eles descobrirem que não conseguem ver coisas na web.
“A Apple está ciente de um problema em que as respostas rápidas de segurança recentes podem impedir que alguns sites sejam exibidos corretamente”, disse o iMaker. “Respostas rápidas de segurança … estarão disponíveis em breve para resolver esse problema”, se isso o fizer se sentir melhor.
Este é apenas o último RSR com falhas que a Apple emitiu desde que começou a publicar essas atualizações este ano. Na primeira vez que tentou enviar RSRs, vários usuários relataram fracassado tentativas de correção.
Os usuários SAP na indústria de petróleo e gás devem receber patches
SAP publicado 18 atualizações de segurança como parte de seu lote de julho [PDF] de patches, incluindo uma correção para um problema crítico em seu software IS-OIL para a indústria de petróleo e gás.
O erro, que tem uma pontuação CVSS de 9,1 em 10, permite que um invasor autenticado injete comandos arbitrários do sistema operacional em uma implantação em risco. “A aplicação de patches é fortemente recomendada, pois uma exploração bem-sucedida dessa vulnerabilidade tem um alto impacto na confidencialidade, integridade e disponibilidade do sistema SAP afetado”, aconselhou a Onapsis, empresa de infosec.
Patches importantes também estão disponíveis para SAP Solutions Manager, Web Dispatcher e ICM.
Correções ICS para Schneider, Siemens essencial
Os fabricantes de sistemas de controle industrial Schneider Electric e Siemens emitiram patches para seus equipamentos.
A Siemens atualizou vários avisos e publicou cinco novos hojeabrangendo vulnerabilidades em dispositivos Ruggedcom ROX que podem levar à divulgação de informações ou execução de código remoto e problemas em sistemas de comunicação Simantic CN 4100 que podem dar ao usuário controle total de um dispositivo e a capacidade de contornar o isolamento de rede.
O problema mais urgente da Schneider parece estar na versão três de seu sistema de tempo de execução Codesys, que pode ser explorado para causar negação de serviço e execução remota de código.
Adobe tem um mês tranquilo
A Adobe lançou apenas dois patches, um para InDesign e outro para Fusão a frio que abordam um total combinado de 15 CVEs, 11 dos quais pertencem ao InDesign, embora o pior afete o ColdFusion.
Os usuários da plataforma de desenvolvimento de aplicativos da Web da Adobe enfrentam uma vulnerabilidade de desserialização de dados não confiáveis CVSS 9.8. Juntamente com um problema de controle de acesso impróprio e restrição imprópria de tentativas de autorização excessivas, o ColdFusion pode ser explorado para contornar recursos de segurança e executar código arbitrário.
O pior problema do InDesign este mês é um problema de gravação fora dos limites que pode levar à execução de código arbitrário e vários problemas de leitura fora dos limites que podem resultar em um vazamento de memória.
Android e Mozilla publicam patches insignificantes
O aviso mensal do Android do Google sempre sai em seu próprio horário, este mês no dia 5, e vale a pena observar algumas críticas vulnerabilidades no chip de segurança do Google da família Pixel e no Titan M que podem levar à elevação de privilégio e negação de serviço, respectivamente. Sempre instale seus patches de segurança do Android.
Mozilla publicou um correção única este mês para o Firefox, e o recém-lançado Firefox ESR 115.0.2 envolvendo uma condição use-after-free() em workers que pode levar a uma “falha potencialmente explorável”. A Mozilla considera esse um de alto impacto, portanto, certifique-se de instalá-lo. ®
.
