A temporada de férias está chegando, mas as empresas de software ainda estão ocupadas emitindo correções para importantes falhas de segurança. Microsoft, Google e a empresa de software corporativo Atlassian lançaram patches para vulnerabilidades que já estão sendo usadas em ataques. A Cisco também corrigiu um bug considerado tão sério que recebeu uma pontuação CVSS quase máxima de 9,9.
Aqui está tudo o que você precisa saber sobre os patches lançados em novembro.
O Google encerrou novembro com chave de ouro após emitir sete correções de segurança para o Chrome, incluindo um patch de emergência para uma questão já sendo usada em ataques reais. Rastreado como CVE-2023-6345, a falha já explorada é um problema de overflow de inteiro no Skia, uma biblioteca de gráficos 2D de código aberto. “Google está ciente de que um exploit para CVE-2023-6345 existe na natureza”, afirmou o fabricante do navegador em um comunicado. Pouco se sabe sobre a correção até o momento da redação; no entanto, foi relatado por Benoît Sevens e Clément Lecigne do Grupo de Análise de Ameaças do Google, indicando que o exploit pode estar relacionado com spyware.
As outras seis falhas corrigidas pelo Google e classificadas como tendo um alto impacto incluem CVE-2023-6348, uma falha de confusão de tipos no Spellcheck, e CVE-2023-6351, um problema de uso após liberar memória em libavif.
Anteriormente no mês, o Google lançou correções para 15 problemas de segurança em seu navegador amplamente utilizado. Entre as falhas corrigidas pelo gigante do software estão três classificadas como tendo uma alta severidade. Rastreado como CVE-2023-5480, o primeiro é um problema de implementação inadequada em Pagamentos, enquanto o segundo, CVE-2023-5482, é uma falha de validação insuficiente de dados em USB com uma pontuação CVSS de 8,8. A terceira falha de alta severidade, CVE-2023-5849, é um problema de overflow de inteiro em USB.
O concorrente do Chrome, o Firefox, corrigiu 10 vulnerabilidades no navegador, sendo que seis delas são classificadas como tendo um alto impacto. CVE-2023-6204 é uma falha de acesso fora dos limites à memória em WebGL2 blitFramebuffer, enquanto CVE-2023-6205 é um problema de uso após liberar memória em MessagePort.
Enquanto isso, CVE-2023-6206 poderia permitir prompts de permissão de clickjacking usando a transição de tela cheia. “A animação de desvanecimento preto ao sair do modo de tela inteira tem aproximadamente a duração do atraso anti-clickjacking em prompts de permissão”, disse a Mozilla, proprietária do Firefox. “Era possível usar esse fato para surpreender os usuários, atraindo-os para clicar onde o botão de concessão de permissão estaria prestes a aparecer.”
CVE-2023-6212 e CVE-2023-6212 são bugs de segurança de memória, ambos com uma pontuação CVSS de 8,8, no Firefox 120, Firefox ESR 115,5 e Thunderbird 115,5.
O Boletim de Segurança do Android do Google de novembro detalha correções feitas neste mês, incluindo oito no Framework, seis dos quais são bugs de elevação de privilégio. A pior falha poderia levar à escalada de privilégio local sem a necessidade de privilégios adicionais de execução, afirmou o Google em um aviso. O Google também corrigiu sete problemas no Sistema, seis dos quais são classificados como tendo uma alta gravidade e um marcado como crítico. Rastreado como CVE-2023-40113, o bug crítico poderia levar à divulgação local de informações sem a necessidade de privilégios adicionais de execução.
Os dispositivos Pixel do Google já receberam a atualização de novembro, juntamente com algumas correções adicionais. O Boletim de Segurança do Android de novembro também começou a ser distribuído para alguns dispositivos da linha Galaxy da Samsung.
No final de novembro, a Apple emitiu uma atualização de segurança exclusiva para o iPhone, iOS 17.1.2, para corrigir duas falhas que estão sendo usadas em ataques reais. Rastreadas como CVE-2023-42916 e CVE-2023-42917, ambas as falhas estão no WebKit, o mecanismo que sustenta o navegador Safari da Apple. Se explorada, a primeira falha poderia resultar na exposição de informações sensíveis, enquanto a segunda poderia permitir que um invasor execute código, disse a Apple em sua página de suporte. A Apple afirmou que ambas as questões “podem ter sido exploradas contra versões do iOS anteriores a iOS 16.7.1”, mas não deu mais detalhes. No entanto, as questões foram relatadas por Clément Lecigne, do Grupo de Análise de Ameaças do Google, que frequentemente descobre falhas usadas para instalar spyware em dispositivos.
