.
Mais tarde, em janeiro, o Google lançou o Chrome 121 no canal estável, corrigindo 17 problemas de segurança, três dos quais são classificados como de alto impacto. Isso inclui CVE-2024-0807, uma falha de uso após liberação no WebAudio, e CVE-2024-0812, uma vulnerabilidade de implementação inadequada em acessibilidade. A vulnerabilidade final de alto impacto é CVE-2024-0808, um underflow de número inteiro na WebUI.
Obviamente, essas atualizações são importantes, então verifique e aplique-as assim que puder.
Microsoft
O Patch Tuesday de janeiro da Microsoft elimina quase 50 bugs em seu software popular, incluindo 12 falhas de execução remota de código (RCE).
Nenhuma falha de segurança incluída no conjunto de atualizações deste mês foi usada em ataques, mas falhas notáveis incluem CVE-2024-20677, um bug no Microsoft Office que pode permitir que invasores criem documentos maliciosos com arquivos de modelo FBX 3D incorporados para execução. código.
Para mitigar esta vulnerabilidade, a capacidade de inserir arquivos FBX foi desabilitada no Word, Excel, PowerPoint e Outlook para Windows e Mac. As versões do Office que tinham esse recurso habilitado não terão mais acesso a ele, disse a Microsoft.
Enquanto isso, CVE-2024-20674 é uma vulnerabilidade de desvio do recurso de segurança Kerberos do Windows classificada como crítica com uma pontuação CVSS de 8,8. Em um cenário para esta vulnerabilidade, o invasor poderia convencer a vítima a se conectar a um aplicativo malicioso controlado pelo invasor, disse a Microsoft. “Ao se conectar, o servidor malicioso pode comprometer o protocolo”, acrescentou a gigante do software.
Mozilla Firefox
Seguindo os passos de seu concorrente dominante no mercado, o Chrome, o Firefox da Mozilla corrigiu 15 falhas de segurança em sua atualização mais recente. Cinco dos bugs são classificados como de alta gravidade, incluindo CVE-2024-0741, um problema de gravação fora dos limites no Angle que pode permitir que um invasor corrompa a memória, levando a uma falha explorável.
Um valor de retorno não verificado no código de handshake TLS rastreado como CVE-2024-0743 também pode causar uma falha explorável.
CVE-2024-0755 cobre bugs de segurança de memória corrigidos no Firefox 122, Firefox ESR 115.7 e Thunderbird 115.7. “Alguns desses bugs mostraram evidências de corrupção de memória e presumimos que com esforço suficiente alguns deles poderiam ter sido explorados para executar código arbitrário”, disse Mozilla.
Cisco
A gigante do software empresarial Cisco corrigiu uma vulnerabilidade em vários produtos Cisco Unified Communications e Contact Center Solutions que poderiam permitir que um invasor remoto não autenticado executasse código arbitrário em um dispositivo afetado.
Rastreado como CVE-2024-20253 e com uma pontuação CVSS impressionante de 9,9, a Cisco disse que um invasor poderia explorar a vulnerabilidade enviando uma mensagem elaborada para uma porta de escuta de um dispositivo afetado.
“Uma exploração bem-sucedida pode permitir que o invasor execute comandos arbitrários no sistema operacional subjacente com os privilégios do usuário dos serviços da Web”, disse Cisco. “Com acesso ao sistema operacional subjacente, o invasor também pode estabelecer acesso root no dispositivo afetado”, alertou.
SEIVA
A SAP lançou 10 novas correções de segurança como parte do Security Patch Day de janeiro, que inclui vários problemas com uma pontuação CVSS de 9,1. CVE-2023-49583 é um problema de escalonamento de privilégios em aplicativos desenvolvidos por meio do SAP Business Application Studio, SAP Web IDE Full-Stack e SAP Web IDE para SAP HANA.
Enquanto isso, CVE-2023-50422 e CVE-2023-49583 são problemas de escalonamento de privilégios no SAP Edge Integration Cell.
Outra falha notável é a CVE-2024-21737, uma vulnerabilidade de injeção de código no SAP Application Interface Framework, que tem uma pontuação CVSS de 8,4. “Um módulo de função vulnerável do aplicativo permite que um invasor atravesse várias camadas e execute comandos do sistema operacional diretamente”, disse a empresa de segurança Onapsis. “Explotações bem-sucedidas podem causar um impacto considerável na confidencialidade, integridade e disponibilidade do aplicativo.”
.
