Mais tarde em janeiro, o Google lançou o Chrome 121 no canal estável, corrigindo 17 problemas de segurança, três dos quais são classificados como tendo um alto impacto. Estes incluem CVE-2024-0807, uma falha de uso após liberação no WebAudio, e CVE-2024-0812, uma vulnerabilidade de implementação inadequada em acessibilidade. A última vulnerabilidade de alto impacto é o CVE-2024-0808, um subfluxo inteiro no WebUI.
Obviamente, essas atualizações são importantes, então verifique e aplique-as o mais rápido possível.
A Microsoft divulgou uma Patch Tuesday de janeiro que corrige quase 50 bugs em seu software popular, incluindo 12 falhas de execução remota de código (RCE). Não há buracos de segurança incluídos no conjunto de atualizações deste mês que se saiba terem sido utilizados em ataques, mas falhas notáveis incluem CVE-2024-20677, um bug no Microsoft Office que poderia permitir que atacantes criassem documentos maliciosos com arquivos de modelo 3D FBX incorporados para executar código.
Para mitigar essa vulnerabilidade, a capacidade de inserir arquivos FBX foi desativada no Word, Excel, PowerPoint e Outlook para Windows e Mac. As versões do Office que tinham esse recurso habilitado não terão mais acesso a ele, disse a Microsoft.
Enquanto isso, o CVE-2024-20674 é uma vulnerabilidade de bypass de segurança do Windows Kerberos classificada como crítica com uma pontuação CVSS de 8,8. Em um cenário para essa vulnerabilidade, o atacante poderia convencer uma vítima a se conectar a um aplicativo malicioso controlado pelo atacante, disse a Microsoft. “Ao se conectar, o servidor malicioso poderia comprometer o protocolo”, acrescentou o gigante do software.
A Mozilla Firefox, logo após seu concorrente dominante do mercado Chrome, corrigiu 15 falhas de segurança em sua última atualização. Cinco dos bugs são classificados como tendo uma alta gravidade, incluindo CVE-2024-0741, um problema de gravação fora dos limites em Angle que poderia permitir que um atacante corrompesse a memória, levando a uma falha explorável.
Um valor de retorno não verificado no código de handshake do TLS rastreado como CVE-2024-0743 também poderia causar uma falha expl
A empresa de software corporativo Cisco corrigiu uma vulnerabilidade em vários produtos de Comunicações Unificadas e Soluções de Centro de Contato da Cisco que poderia permitir que um atacante remoto e não autenticado executasse código arbitrário em um dispositivo afetado. Rastreado como CVE-2024-20253 e com uma pontuação CVSS impressionante de 9,9, a Cisco disse que um atacante poderia explorar a vulnerabilidade enviando uma mensagem elaborada para uma porta de escuta de um dispositivo afetado.
“Um exploit bem-sucedido poderia permitir que o atacante executasse comandos arbitrários no sistema operacional subjacente com os privilégios do usuário de serviços da web”, disse a Cisco. “Com acesso ao sistema operacional subjacente, o atacante também poderia estabelecer um acesso de root no dispositivo afetado”, alertou.
A SAP emitiu 10 novas correções de segurança como parte de seu Patch Day de janeiro, que inclui vários problemas com uma pontuação CVSS de 9,1. CVE-2023-49583 é um problema de escalonamento de privilégios em aplicativos desenvolvidos através do SAP Business Application Studio, SAP Web IDE Full-Stack e SAP Web IDE para SAP HANA.
Enquanto isso, CVE-2023-50422 e CVE-2023-49583 são problemas de escalonamento de privilégios em SAP Edge Integration Cell. Outra falha importante é o CVE-2024-21737, uma vulnerabilidade de injeção de código no SAP Application Interface Framework, que tem uma pontuação CVSS de 8,4. “Um módulo de função vulnerável do aplicativo permite que um atacante atravesse várias camadas e execute comandos do sistema operacional diretamente”, disse a empresa de segurança Onapsis. “Exploits bem-sucedidos podem causar um impacto considerável na confidencialidade, integridade e disponibilidade do aplicativo”.
