A Microsoft corrige 34 falhas e 1 zero-day no Patch Tuesday de dezembro de 2023
13 de Dezembro de 2023

Hoje é a terça-feira de correções de dezembro de 2023 da Microsoft, que inclui atualizações de segurança para um total de 34 falhas e uma vulnerabilidade anteriormente divulgada e não corrigida em CPUs AMD.

Embora oito bugs de execução de código remoto (RCE) tenham sido corrigidos, a Microsoft classificou apenas três como críticos.

No total, havia quatro vulnerabilidades críticas, sendo uma na Power Platform (Spoofing), duas em compartilhamento de conexão à Internet (RCE) e uma na plataforma MSHTML do Windows (RCE).

O número de bugs em cada categoria de vulnerabilidade está listado abaixo:

10 vulnerabilidades de elevação de privilégios
8 vulnerabilidades de execução de código remoto
6 vulnerabilidades de divulgação de informações
5 vulnerabilidades de negação de serviço
5 vulnerabilidades de falsificação

O total de 34 falhas não inclui 8 falhas no Microsoft Edge corrigidas em 7 de dezembro.

Para saber mais sobre as atualizações que não são de segurança lançadas hoje, você pode revisar nossos artigos dedicados sobre a nova atualização cumulativa KB5033375 do Windows 11 e atualização cumulativa KB5033372 do Windows 10.

As correções desta terça-feira de correção corrigem uma vulnerabilidade zero-day AMD divulgada em agosto que permaneceu sem correção.

A vulnerabilidade ' CVE-2023-20588 - AMD: CVE-2023-20588 AMD Speculative Leaks' é um bug de divisão por zero em processadores AMD específicos que podem retornar dados sensíveis.

A falha foi divulgada em agosto de 2023, com a AMD não fornecendo nenhuma correção além de recomendar a seguinte mitigação.

"Para produtos afetados, a AMD recomenda seguir as melhores práticas de desenvolvimento de software", diz um comunicado da AMD sobre o CVE-2023-20588 .

"Os desenvolvedores podem mitigar esse problema garantindo que nenhum dado privilegiado seja usado em operações de divisão antes de alterar os limites de privilégio.

A AMD acredita que o impacto potencial desta vulnerabilidade é baixo porque requer acesso local."

Como parte das atualizações de correção de dezembro de hoje, a Microsoft lançou uma atualização de segurança que resolve esse bug em processadores AMD impactados.

Outros fornecedores que lançaram atualizações ou avisos em dezembro de 2023 incluem:

Ataque 5Ghoul pode causar interrupções de serviço em telefones 5G com chips Qualcomm e MediaTek

Atlassian lançou atualizações de segurança para quatro falhas críticas de execução remota de código (RCE) no Confluence, Jira e Bitbucket.

A Apple retornou patches para zero-days recentes em iPhones mais antigos e alguns modelos de Apple Watch e Apple TV.

A Cisco lançou atualizações de segurança para uma falha da Cisco ASA e Firepower que permite a falsificação de endereços IP.

O Google lançou as atualizações de segurança de dezembro de 2023 para Android com uma correção para um zero-day crítico.

A SAP lançou suas atualizações do Patch Day de dezembro de 2023.

A Sierra Wireless lançou conselheiros de segurança para 21 falhas afetando roteadores Sierra OT/IoT.

O ataque de canal lateral SLAM rouba dados sensíveis de CPUs futuras da Intel, AMD e ARM.

A VMware corrigiu uma falha crítica de autenticação em Cloud Director.

WordPress corrigiu uma cadeia POP que poderia levar a ataques de RCE.

Abaixo está a lista completa de vulnerabilidades resolvidas nas atualizações de Patch Tuesday de dezembro de 2023.

Para acessar a descrição completa de cada vulnerabilidade e os sistemas que ela afeta, você pode visualizar o relatório completo aqui.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...