A maior fabricante de software do mundo, a Microsoft, lançou na terça-feira patches com cobertura para pelo menos 59 vulnerabilidades de segurança documentadas, incluindo um par de dias zero de gravidade crítica já sendo exploradas em liberdade.
A equipe de resposta de segurança de Redmond documentou uma ampla gama de defeitos de segurança em vários sistemas operacionais e componentes do Windows e chamou atenção especial para duas vulnerabilidades: CVE-2023-36033 e CVE-2023-36036 — sendo explorado em ataques ativos.
“Um invasor que explorar com sucesso esta vulnerabilidade pode obter privilégios de SISTEMA”, disse a Microsoft em dois comunicados separados que dão crédito ao pesquisador de segurança Quan Jin, ao DBAPPSecurity WeBin Lab e às suas próprias equipes de inteligência de ameaças pela descoberta dos dois dias zero.
Como é habitual, os boletins básicos da Microsoft não continham quaisquer detalhes sobre os ataques ao vivo ou indicadores de comprometimento para ajudar os defensores a procurar sinais de infecções.
O lançamento do Patch Tuesday também corrige a falha WepP conhecida – e já explorada – que afeta seu Microsoft Edge (navegador baseado em Chromium) e problemas de execução remota de código na implementação do Windows cURL.
A Microsoft também lançou outro patch para resolver problemas de desvio de recursos que continuam a assombrar sua ferramenta Windows SmartScreen e atualizações importantes para corrigir problemas de execução remota de código e escalonamento de privilégios nos componentes Windows Pragmatic General Multicast (PGM) e Windows HMAC Key Derivation.
A falha PGM (CVE-2023-36397) carrega uma pontuação de gravidade CVSS de 9,8 em 10 e deve ser considerado um patch para implantação de alta prioridade.
Os patches da Microsoft seguem o lançamento de um grande lote de correções de segurança pela Adobe para cobrir falhas de gravidade crítica em seus produtos Acrobat e Reader, ColdFusion, inDesign, inCopy e Audition.
A Adobe documentou 72 bugs de segurança distintos e chamou atenção especial para defeitos de execução de código nos softwares Adobe Acrobat e Reader amplamente implantados.
Em uma gravidade crítica boletima Adobe documentou pelo menos 17 bugs do Acrobat e do Reader que expõem sistemas Windows e macOS não corrigidos a execução arbitrária de código e problemas de vazamento de memória.
A Adobe também emitiu patches para pelo menos seis falhas distintas do ColdFusion isso pode levar à execução arbitrária de código e ao desvio de recursos de segurança. Os problemas do ColdFusion são sinalizados como críticos e afetam as versões 2023 e 2021.