Microsoft lançou hoje atualizações de segurança para corrigir pelo menos 117 falhas de segurança Windows computadores e outros softwares, incluindo duas vulnerabilidades que já sofreram ataques ativos. E, Adobe 52 falhas de segurança também estão anexadas a uma variedade de produtos uma maçã fale com o bug em seu novo macOS 15 “Sequóia”atualização que quebrou muitas ferramentas de segurança cibernética.
Um dos bugs de dia zero – CVE-2024-43573 – vem de uma vulnerabilidade de segurança MSHTMLMotor proprietário da Microsoft Internet Explorer navegador da web. Se isso parece familiar, é porque esta é a quarta vulnerabilidade MSHTML descoberta explorada em estado selvagem até agora em 2024.
Nikolas Cemerikicengenheiro de segurança cibernética na Laboratórios Focadosdisse que a vulnerabilidade permite que um invasor engane os usuários para que visualizem conteúdo malicioso da web, que pode parecer legítimo devido à forma como o Windows lida com determinados conteúdos da web.
“Se um usuário for induzido a interagir com esse conteúdo (geralmente por meio de um ataque de phishing), o invasor poderá obter acesso não autorizado a informações confidenciais ou falsificar serviços baseados na web”, disse ele.
Cemerikic observou que, embora o Internet Explorer esteja sendo retirado de serviço em muitas plataformas, sua tecnologia MSHTML subjacente permanece ativa e vulnerável.
“Isto cria um risco para os funcionários que utilizam estes sistemas antigos como parte do seu trabalho diário, especialmente se acederem a dados sensíveis ou realizarem transações financeiras online”, disse ele.
Talvez o dia zero mais sério deste mês seja o CVE-2024-43572, uma falha de execução de código no Microsoft Management Console, um componente do Windows que oferece aos administradores de sistema uma maneira de configurar e monitorar o sistema.
Satnam Narangengenheiro de pesquisa sênior e É utilizávelobservou que o patch para CVE-2024-43572 chegou vários meses depois que os pesquisadores Laboratórios de segurança elástica expôs um método de ataque chamado GrimResource que usava uma antiga vulnerabilidade de cross-site scripting (XSS) combinada com um arquivo Microsoft Saved Console (MSC) especialmente criado para obter privilégios para executar código.
“Embora a Microsoft tenha incluído uma vulnerabilidade MMC separada em setembro (CVE-2024-38259) que não foi explorada ou divulgada publicamente”, disse Narang. “Desde a descoberta do CVE-2024-43572, a Microsoft agora impede que arquivos MSC não confiáveis sejam abertos no sistema.”
A Microsoft também foi eliminada escritório, Azul, .LÍQUIDO, OpenSSH para Windows; O poder do BI; Windows Hyper-V; Banda larga móvel do Windowsde novo Estúdio visual. Como sempre, eu SANS Internet Storm Center tem uma lista de todos os patches da Microsoft lançados hoje, classificados por gravidade e exploração.
No final do mês passado, a Apple lançou o macOS 15, uma atualização do sistema operacional chamada Sequoia que quebrou a funcionalidade de ferramentas de segurança fabricadas por vários fornecedores, incluindo CrowdStrike, SentinelOne e Microsoft. Em 7 de outubro, a Apple lançou uma atualização para usuários do Sequoia que aborda esses problemas de compatibilidade.
Por fim, a Adobe lançou atualizações de segurança para corrigir um total de 52 vulnerabilidades na lista de software, incluindo Pintor 3D de substância Adobe, Comercial, Tamanho, Animar, Lightroom, InCopy, InDesign, Objetos Stager 3Dde novo Adobe Frame Maker.
Considere fazer backup de dados importantes antes de instalar qualquer atualização. Com exceção do dia zero, geralmente há pouco risco em esperar alguns dias para aplicar quaisquer patches pendentes, pois é raro que uma atualização de segurança introduza problemas de estabilidade ou compatibilidade. AskWoody.com geralmente tem menos corpo em qualquer área problemática.
E como sempre, se você tiver algum problema após instalar os patches, deixe um recado nos comentários; outra pessoa pode estar com o mesmo problema e ter encontrado uma solução.
