Mais adiante em janeiro, o Google lançou o Chrome 121 no canal estável, corrigindo 17 problemas de segurança, três dos quais são classificados como tendo um alto impacto. Estes incluem a CVE-2024-0807, uma falha de uso após liberação no WebAudio, e a CVE-2024-0812, uma vulnerabilidade de implementação inadequada em acessibilidade. A vulnerabilidade final de alto impacto é a CVE-2024-0808, um subfluxo de inteiros no WebUI.
Obviamente, essas atualizações são importantes, então verifique e aplique-as assim que puder.
A Microsoft
A Microsoft’s Patch Tuesday de janeiro corrige quase 50 bugs em seu software popular, incluindo 12 falhas de execução remota de código (RCE).
Nenhum buraco de segurança incluso no conjunto de atualizações deste mês é conhecido por ter sido utilizado em ataques, mas falhas notáveis incluem a CVE-2024-20677, um bug no Microsoft Office que poderia permitir que atacantes criassem documentos maliciosos com arquivos de modelo 3D FBX incorporados para executar código.
Para mitigar essa vulnerabilidade, a capacidade de inserir arquivos FBX foi desativada no Word, Excel, PowerPoint e Outlook para Windows e Mac. As versões do Office que tinham esse recurso ativado não terão mais acesso a ele, disse a Microsoft.
Enquanto isso, a CVE-2024-20674 é uma vulnerabilidade de bypass de segurança do Kerberos do Windows classificada como crítica com uma pontuação CVSS de 8,8. Em um cenário para essa vulnerabilidade, o agressor poderia convencer a vítima a se conectar a um aplicativo malicioso controlado pelo agressor, disse a Microsoft. “Ao se conectar, o servidor malicioso poderia comprometer o protocolo”, acrescentou o gigante do software.
Mozilla Firefox
Logo após seu concorrente dominante no mercado, o Chrome, o Firefox da Mozilla corrigiu 15 falhas de segurança em sua última atualização. Cinco dos bugs são classificados como tendo uma gravidade alta, incluindo a CVE-2024-0741, um problema de gravação fora dos limites no Angle que poderia permitir que um atacante corrompesse a memória, levando a uma falha explorável.
Um valor de retorno não verificado no código de aperto de mãos do TLS rastreado como CVE-2024-0743 também pode causar uma falha explorável.
A CVE-2024-0755 abrange bugs de segurança de memória corrigidos no Firefox 122, Firefox ESR 115.7 e Thunderbird 115.7. “Alguns desses bugs mostraram evidências de corrupção de memória e presumimos que, com esforço suficiente, alguns deles poderiam ter sido explorados para executar código arbitrário”, disse a Mozilla.
Cisco
A gigante de software corporativo Cisco corrigiu uma vulnerabilidade em diversos produtos Cisco Unified Communications e Contact Center Solutions que poderia permitir a um agressor remoto e não autenticado executar código arbitrário em um dispositivo afetado.
Rastreada como CVE-2024-20253 e com uma pontuação CVSS impressionante de 9,9, a Cisco disse que um agressor poderia explorar a vulnerabilidade enviando uma mensagem elaborada para uma porta de escuta de um dispositivo afetado.
“Um exploit bem-sucedido poderia permitir que o agressor executasse comandos arbitrários no sistema operacional subjacente com os privilégios do usuário dos serviços web”, disse a Cisco. “Com acesso ao sistema operacional subjacente, o agressor também poderia estabelecer acesso raiz no dispositivo afetado”, alertou.
SAP
A SAP emitiu 10 novas correções de segurança como parte de seu Dia de Patch de Segurança de janeiro, que inclui vários problemas com uma pontuação CVSS de 9,1. A CVE-2023-49583 é um problema de escalonamento de privilégios em aplicativos desenvolvidos por meio do SAP Business Application Studio, SAP Web IDE Full-Stack e SAP Web IDE para o SAP HANA.
Enquanto isso, a CVE-2023-50422 e a CVE-2023-49583 são problemas de escalonamento de privilégios no SAP Edge Integration Cell.
Outra falha notável é a CVE-2024-21737, uma vulnerabilidade de injeção de código no SAP Application Interface Framework, que tem uma pontuação CVSS de 8,4. “Um módulo de função vulnerável do aplicativo permite que um agressor navegue por várias camadas e execute comandos do sistema operacional diretamente”, disse a empresa de segurança Onapsis. “Explorações bem-sucedidas podem causar um impacto considerável na confidencialidade, integridade e disponibilidade do aplicativo.”
