Atualizações de Segurança Importantes
Mais tarde em janeiro, o Google lançou o Chrome 121 para o canal estável, corrigindo 17 problemas de segurança, três dos quais têm um impacto significativo. Estes incluem CVE-2024-0807, uma falha de uso após liberação no WebAudio, e CVE-2024-0812, uma vulnerabilidade de implementação inadequada em acessibilidade. A última vulnerabilidade de alto impacto é o CVE-2024-0808, um subfluxo de inteiro no WebUI.
Obviamente, essas atualizações são importantes, então verifique e aplique-as o mais rápido possível.
Microsoft
A Microsoft lançou suas correções de janeiro, eliminando quase 50 bugs em seus softwares populares, incluindo 12 falhas de execução remota de código (RCE).
Não há buracos de segurança incluídos neste conjunto de atualizações que se saiba que tenham sido usados em ataques, mas falhas notáveis incluem o CVE-2024-20677, um bug no Microsoft Office que poderia permitir que atacantes criassem documentos maliciosos com arquivos de modelo 3D FBX incorporados para executar código.
Para mitigar essa vulnerabilidade, a capacidade de inserir arquivos FBX foi desativada no Word, Excel, PowerPoint e Outlook para Windows e Mac. Versões do Office que tinham esse recurso habilitado não terão mais acesso a ele, disse a Microsoft.
Mozilla Firefox
Após o Chrome, o Mozilla Firefox lançou uma atualização patcheando 15 falhas de segurança. Cinco dos bugs têm uma gravidade alta, incluindo o CVE-2024-0741, um problema de gravação fora dos limites no Angle que poderia permitir a um atacante corromper a memória, levando a uma falha explorável.
Um valor de retorno não verificado no código de aperto de mão TLS rastreado como CVE-2024-0743 também poderia causar uma falha explorável.
Cisco
A gigante de software corporativo Cisco corrigiu uma vulnerabilidade em múltiplos produtos de Soluções de Comunicações Unificadas da Cisco que poderiam permitir a um atacante remoto e não autenticado executar código arbitrário em um dispositivo afetado.
Rastreada como CVE-2024-20253 e com um escore CVSS de 9.9, a Cisco disse que um atacante poderia explorar a vulnerabilidade enviando uma mensagem elaborada para uma porta de escuta de um dispositivo afetado.
SAP
A SAP emitiu 10 novas correções de segurança como parte de seu Dia de Patches de Segurança de janeiro, que inclui vários problemas com um escore CVSS de 9.1. O CVE-2023-49583 é uma questão de escalonamento de privilégios em aplicativos desenvolvidos através do SAP Business Application Studio, SAP Web IDE Full-Stack, e SAP Web IDE for SAP HANA.
