Atualizações de Software em Março de 2024
É hora de verificar suas **atualizações de software**. Março viu o lançamento de patches importantes para o **Apple iOS**, **Google Chrome** e seu concorrente consciente da privacidade **Firefox**.
Apple iOS
A Apple compensou um **fevereiro tranquilo** lançando dois patches separados em março. No início do mês, a empresa do iPhone lançou o iOS 17.4, corrigindo mais de 40 falhas, incluindo duas questões já sendo usadas em ataques reais.
Rastreada como **CVE-2024-23225**, a primeira falha no Kernel do iPhone poderia permitir que um invasor ignorasse as proteções de memória. “A Apple tem conhecimento de um relatório que indica que esse problema pode ter sido explorado”, disse a empresa em sua **página de suporte**.
Rastreada como CVE-2024-23296, a segunda falha, no RTKit, o sistema operacional em tempo real usado em dispositivos, incluindo AirPods, também poderia permitir que um adversário ignorasse as proteções de memória do Kernel.
Mais tarde em março, a Apple lançou uma segunda atualização de software, iOS 17.4.1, desta vez corrigindo duas falhas em seu software para iPhone, ambas rastreadas como **CVE-2024-1580**. Usando as questões corrigidas no iOS 17.4.1, um invasor poderia executar código se convencesse alguém a interagir com uma imagem.
Logo após emitir o iOS 17.4.1, a Apple lançou patches para seus outros dispositivos para corrigir as mesmas falhas: Safari 17.4.1, macOS Sonoma 14.4.1 e macOS Ventura 13.6.6.
Google Chrome
Março foi mais um mês agitado para o Google, que corrigiu várias falhas em seu navegador Chrome. No meio do mês, o Google **lançou** 12 patches, incluindo uma correção para **CVE-2024-2625**, uma questão de ciclo de vida de objeto em V8 com uma classificação de gravidade alta.
As questões de severidade média incluem CVE-2024-2626, uma falha de leitura fora dos limites em Swiftshader; CVE-2024-2627, uma falha de uso após liberação no Canvas; e CVE-2024-2628, uma questão de implementação inadequada nos Downloads.
No final do mês, o Google **emitiu** sete correções de segurança, incluindo um patch para uma falha crítica de uso após liberação no ANGLE rastreada como **CVE-2024-2883**. Mais duas falhas de uso após liberação, rastreadas como CVE-2024-2885 e CVE-2024-2886, receberam uma classificação de severidade alta. Enquanto **CVE-2024-2887** é uma falha de confusão de tipo em WebAssembly.
As duas últimas questões foram exploradas no concurso de hacking Pwn2Own 2024, então você deve atualizar seu navegador Chrome o mais rápido possível.
Mozilla Firefox
O Firefox da Mozilla teve um março agitado, depois de **corrigir** duas vulnerabilidades de dia zero exploradas no Pwn2Own. **CVE-2024-29943** é uma questão de bypass de acesso fora dos limites, enquanto **CVE-2024-29944** é uma falha de execução de JavaScript privilegiado em Manipuladores de Eventos que poderia levar a uma fuga de sandbox. Ambas as questões são classificadas como tendo um impacto crítico.
Anteriormente no mês, a Mozilla **lançou** o Firefox 124 para abordar 12 problemas de segurança, incluindo CVE-2024-2605, uma falha de escape de sandbox afetando sistemas operacionais Windows. Um invasor poderia ter alavancado o Windows Error Reporter para executar código arbitrário no sistema, escapando do sandbox, disse a Mozilla.
CVE-2024-2615 corrige falhas de segurança críticas em memória no Firefox 124. “Alguns desses bugs mostraram evidências de corrupção de memória, e presumimos que com esforço suficiente [eles] poderiam ter sido explorados para executar código arbitrário”, disse a Mozilla.
Google Android
O Google lançou seu **Boletim de Segurança do Android de março**, corrigindo quase 40 problemas em seu sistema operacional móvel, incluindo dois bugs críticos em seu sistema. **CVE-2024-0039** é uma falha de execução remota de código, enquanto **CVE-2024-23717** é uma vulnerabilidade de elevação de privilégio.
“A maioria desses problemas é uma vulnerabilidade crítica de segurança no componente System que poderia levar à execução remota de código sem a necessidade de privilégios de execução adicionais”, disse o Google em seu aviso.
