microsoft-g036c2d4a4_640.jpg

Microsoft inicia o ano com 97 CVEs lançadas no Patch Tuesday

Do total de vulnerabilidades, nove foram classificadas como críticas e seis foram divulgadas publicamente
Da Redação
13/01/2022
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A Microsoft começou o ano publicando correções para quase uma centena de vulnerabilidades e exposições comuns (CVEs, na sigla em inglês) no primeiro Patch Tuesday. Quando a empresa lança pacotes de atualização para o sistema operacional Windows e outros aplicativos de software. Do total de falhas, nove foram classificadas como críticas e seis foram divulgadas publicamente. 

As atualizações do sistema operacional Windows lançadas este mês corrigirão todos os bugs conhecidos, segundo o vice-presidente de gestão de produtos da empresa de software de segurança Ivanti, Chris Goettl, em declaração ao site Infosecurity. Isso inclui a CVE-2022-21839, uma vulnerabilidade de negação de serviço na lista de controle de acesso discricionário de rastreamento de eventos do Windows; uma falha de elevação de privilégio no serviço de perfil de usuário do Windows (CVE-2022-21919); e uma vulnerabilidade de falsificação de certificados do Windows (CVE-2022-21836).

As três falhas divulgadas publicamente são bugs de execução remota de código na API do Windows Security Center (CVE-2022-21874), libarchive (CVE-2021-36976) e curl de código aberto (CVE-2021-22947).

De acordo com a Automox, o Patch Tuesday deste mês tem o maior número de CVEs críticos desde julho de 2021.

Há muito mais para manter os administradores de sistema ocupados. A Mozilla resolveu 18 CVEs, incluindo nove classificados como críticos em três atualizações, impactando o Mozilla Thunderbird, Firefox e Firefox ESR. A Adobe emitiu cinco atualizações resolvendo 41 vulnerabilidades, 22 das quais são classificadas como críticas.

Veja isso
Azure AD tem vulnerabilidade grave, alerta Microsoft
Proteção ao supply chain une Microsoft, Intel e Goldman Sachs

Também há mais por vir, com a atualização trimestral de patch crítico da Oracle programada para chegar na próxima semana.

Tudo isso ocorre à medida que as organizações continuam a procurar instâncias Log4j vulneráveis ​​em seu ecossistema de TI, muitas das quais podem estar ocultas por dependências Java complexas.

“As organizações que foram capazes de responder rapidamente descobriram que realmente entender sua exposição exigia arregaçar as mangas. Eles avaliaram rapidamente suas equipes de desenvolvimento interno para uso do Log4j e seu processo de gerenciamento de risco de fornecedor para determinar de quais fornecedores eles estavam consumindo soluções e avaliando cada um para determinar se estavam expostos”, explicou Goettl.

“Como uma etapa adicional, as equipes de segurança também utilizaram uma variedade de scanners personalizados criados especificamente para verificar os binários do Log4j. Isso é crucial, pois o Log4j foi enterrado muitos casos em algumas camadas de arquivos JAR, o que estava jogando muitos scanners de vulnerabilidade”, concluiu o VP da Ivanti.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)