É hora de verificar suas atualizações de software. Março viu o lançamento de patches importantes para o iOS da Apple, o Chrome do Google e seu concorrente consciente da privacidade, o Firefox. Bugs também foram corrigidos por gigantes de software empresarial, incluindo Cisco, VMware e SAP.
Aqui está o que você precisa saber sobre as atualizações de segurança emitidas em março.
Apple iOS
A Apple compensou um fevereiro tranquilo emitindo dois patches separados em março. No início do mês, o fabricante do iPhone lançou o iOS 17.4, corrigindo mais de 40 falhas, incluindo dois problemas já sendo usados em ataques reais.
Rastreado como CVE-2024-23225, o primeiro bug no Kernel do iPhone poderia permitir que um invasor ignorasse as proteções de memória. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado”, disse o fabricante do iPhone em sua página de suporte.
Rastreado como CVE-2024-23296, a segunda falha, no RTKit, o sistema operacional de tempo real usado em dispositivos, incluindo AirPods, também poderia permitir que um adversário ignorasse as proteções à memória do Kernel.
Mais tarde em março, a Apple lançou uma segunda atualização de software, iOS 17.4.1, desta vez corrigindo duas falhas em seu software do iPhone, ambas rastreadas como CVE-2024-1580. Usando as questões corrigidas no iOS 17.4.1, um atacante poderia executar código se convencesse alguém a interagir com uma imagem.
Logo após emitir o iOS 17.4.1, a Apple lançou patches para seus outros dispositivos para corrigir os mesmos bugs: Safari 17.4.1, macOS Sonoma 14.4.1 e macOS Ventura 13.6.6.
Google Chrome
Março foi outro mês agitado para o Google, que corrigiu várias falhas em seu navegador Chrome. No meio do mês, o Google lançou 12 patches, incluindo uma correção para CVE-2024-2625, um problema de ciclo de vida de objetos no V8 com uma classificação de severidade alta.
Problemas de severidade média incluem CVE-2024-2626, um bug de leitura fora dos limites no Swiftshader; CVE-2024-2627, uma falha de uso após a liberação em Canvas; e CVE-2024-2628, uma questão de implementação inadequada em Downloads.
No final do mês, o Google emitiu sete correções de segurança, incluindo um patch para uma falha crítica de uso após a liberação no ANGLE rastreada como CVE-2024-2883. Dois outros bugs de uso após a liberação, rastreados como CVE-2024-2885 e CVE-2024-2886, receberam uma classificação de severidade alta. Enquanto CVE-2024-2887 é uma falha de confusão de tipos no WebAssembly.
As duas últimas questões foram exploradas no concurso de hacking Pwn2Own 2024, então você deve atualizar seu navegador Chrome o mais rápido possível.
Mozilla Firefox
O Firefox da Mozilla teve um março movimentado, depois de corrigir duas vulnerabilidades zero-day exploradas no Pwn2Own. CVE-2024-29943 é um problema de acesso fora dos limites, enquanto o CVE-2024-29944 é uma falha de execução de JavaScript privilegiada nos Manipuladores de Eventos que poderiam levar à fuga da sandbox. Ambos os problemas são classificados como tendo um impacto crítico.
No início do mês, a Mozilla lançou o Firefox 124 para abordar 12 problemas de segurança, incluindo o CVE-2024-2605, uma falha de escape de sandbox afetando sistemas operacionais Windows. Um invasor poderia ter alavancado o Windows Error Reporter para executar código arbitrário no sistema, escapando da sandbox, disse a Mozilla.
O CVE-2024-2615 vê bugs de segurança de memória classificados como críticos corrigidos no Firefox 124. “Alguns desses bugs mostraram evidências de corrupção de memória, e presumimos que com esforço suficiente [eles] poderiam ter sido explorados para executar código arbitrário”, disse a Mozilla.
Google Android
O Google lançou seu Boletim de Segurança do Android de março, corrigindo quase 40 problemas em seu sistema operacional móvel, incluindo dois bugs críticos em seu componente de sistema. CVE-2024-0039 é uma falha de execução remota de código, enquanto o CVE-2024-23717 é uma vulnerabilidade de elevação de privilégios.
“O mais grave desses problemas é uma vulnerabilidade crítica de segurança no componente System que poderia levar à execução remota de código sem a necessidade de privilégios adicionais de execução”, disse o Google em seu aviso.
