A época festiva chegou, mas as empresas de software ainda estão ocupadas emitindo correções para grandes falhas de segurança. Microsoft, Google e a empresa de software corporativo Atlassian lançaram correções para vulnerabilidades que já estão sendo usadas em ataques. A Cisco também corrigiu um bug considerado tão grave que recebeu uma avaliação CVSS quase máxima de 9.9.
Aqui está tudo o que você precisa saber sobre as correções lançadas em novembro.
Google Chrome
O Google encerrou novembro com chave de ouro após emitir sete correções de segurança para o Chrome, incluindo uma correção de emergência para um problema que já está sendo usado em ataques da vida real. Rastreado como CVE-2023-6345, a falha já explorada é um problema de overflow de inteiro no Skia, uma biblioteca de gráficos 2D de código aberto. “O Google tem conhecimento de que existe um exploit para CVE-2023-6345 em uso,” disse o fabricante do navegador em um aviso.
Pouco se sabe sobre a correção no momento da redação; no entanto, foi reportado por Benoît Sevens e Clément Lecigne da Equipe de Análise de Ameaças do Google, indicando que o exploit poderia estar relacionado a spywares.
As outras seis falhas corrigidas pelo Google e classificadas como tendo um grande impacto incluem CVE-2023-6348, uma falha de confusão de tipo em Spellcheck, e CVE-2023-6351, um problema de uso após o livre em libavif.
Anteriormente no mês, o Google lançou correções para 15 problemas de segurança em seu navegador amplamente usado. Entre os bugs corrigidos pelo gigante do software, três foram classificados como tendo uma severidade alta. Rastreado como CVE-2023-5480, o primeiro é um problema de implementação inadequada nos Pagamentos, enquanto o segundo, CVE-2023-5482, é uma falha de validação de dados insuficiente no USB com uma pontuação CVSS de 8.8. O terceiro bug de alta severidade, CVE-2023-5849, é um problema de overflow de inteiro no USB.
Mozilla Firefox
O concorrente do Chrome, o Firefox, corrigiu 10 vulnerabilidades no navegador, sendo que seis delas são classificadas como tendo um grande impacto. CVE-2023-6204 é uma falha de acesso à memória fora dos limites em blitFramebuffer do WebGL2, enquanto o CVE-2023-6205 é um problema de uso após o livre em MessagePort.
Enquanto isso, o CVE-2023-6206 poderia permitir prompts de permissão para clickjacking usando a transição em tela cheia. “A animação de desvanecimento preto ao sair da tela cheia tem aproximadamente o mesmo comprimento do atraso anti-clickjacking nos prompts de permissão,” disse a Mozilla, proprietária do Firefox. “Era possível usar esse fato para surpreender os usuários, induzindo-os a clicar onde o botão de concessão de permissão estaria prestes a aparecer.”
O CVE-2023-6212 e o CVE-2023-6212 são falhas de segurança de memória, ambos com uma pontuação CVSS de 8.8, no Firefox 120, Firefox ESR 115.5 e Thunderbird 115.5.
Google Android
O Boletim de Segurança do Android de novembro do Google detalha correções aplicadas neste mês, incluindo oito no Framework, sendo seis deles bugs de elevação de privilégios. A pior falha poderia levar a uma escalada local de privilégios sem a necessidade de privilégios de execução adicionais, disse o Google em um aviso.
O Google também corrigiu sete problemas no Sistema, sendo que seis são classificados como tendo uma severidade alta e um marcado como crítico. Rastreado como CVE-2023-40113, o bug crítico poderia levar a uma divulgação local de informações sem a necessidade de privilégios de execução adicionais.
Os dispositivos Pixel do Google já receberam a atualização de novembro, juntamente com algumas correções adicionais. O Boletim de Segurança do Android de novembro também começou a ser implementado em alguns dos modelos Galaxy da Samsung.
Apple
No final de novembro, a Apple emitiu uma atualização de segurança exclusiva para o iPhone, o iOS 17.1.2, para corrigir duas falhas sendo usadas em ataques na vida real. Rastreados como CVE-2023-42916 e CVE-2023-42917, ambos os bugs estão no WebKit, o motor que sustenta o navegador Safari da Apple. Se explorada, a primeira falha poderia expor informações sensíveis, enquanto a segunda poderia permitir a um atacante executar código, disse a Apple em sua página de suporte.
A Apple disse que ambos os problemas “poderiam ter sido explorados em versões do iOS anteriores à iOS 16.7.1,” mas não deu mais detalhes. No entanto, as questões foram reportadas por Clément Lecigne da Equipe de Análise de Ameaças do Google, que frequentemente descobre falhas usadas para instalar spywares em dispositivos.
