Hoje é a terça-feira de correções de dezembro de 2023 da Microsoft, que inclui atualizações de segurança para um total de 34 falhas e uma vulnerabilidade anteriormente divulgada e não corrigida em CPUs AMD.
Embora oito bugs de execução de código remoto (RCE) tenham sido corrigidos, a Microsoft classificou apenas três como críticos.
No total, havia quatro vulnerabilidades críticas, sendo uma na Power Platform (Spoofing), duas em compartilhamento de conexão à Internet (RCE) e uma na plataforma MSHTML do Windows (RCE).
O número de bugs em cada categoria de vulnerabilidade está listado abaixo:
10 vulnerabilidades de elevação de privilégios
8 vulnerabilidades de execução de código remoto
6 vulnerabilidades de divulgação de informações
5 vulnerabilidades de negação de serviço
5 vulnerabilidades de falsificação
O total de 34 falhas não inclui 8 falhas no Microsoft Edge corrigidas em 7 de dezembro.
Para saber mais sobre as atualizações que não são de segurança lançadas hoje, você pode revisar nossos artigos dedicados sobre a nova atualização cumulativa KB5033375 do Windows 11 e atualização cumulativa KB5033372 do Windows 10.
As correções desta terça-feira de correção corrigem uma vulnerabilidade zero-day AMD divulgada em agosto que permaneceu sem correção.
A vulnerabilidade '
CVE-2023-20588
- AMD:
CVE-2023-20588
AMD Speculative Leaks' é um bug de divisão por zero em processadores AMD específicos que podem retornar dados sensíveis.
A falha foi divulgada em agosto de 2023, com a AMD não fornecendo nenhuma correção além de recomendar a seguinte mitigação.
"Para produtos afetados, a AMD recomenda seguir as melhores práticas de desenvolvimento de software", diz um comunicado da AMD sobre o
CVE-2023-20588
.
"Os desenvolvedores podem mitigar esse problema garantindo que nenhum dado privilegiado seja usado em operações de divisão antes de alterar os limites de privilégio.
A AMD acredita que o impacto potencial desta vulnerabilidade é baixo porque requer acesso local."
Como parte das atualizações de correção de dezembro de hoje, a Microsoft lançou uma atualização de segurança que resolve esse bug em processadores AMD impactados.
Outros fornecedores que lançaram atualizações ou avisos em dezembro de 2023 incluem:
Ataque 5Ghoul pode causar interrupções de serviço em telefones 5G com chips Qualcomm e MediaTek
Atlassian lançou atualizações de segurança para quatro falhas críticas de execução remota de código (RCE) no Confluence, Jira e Bitbucket.
A Apple retornou patches para zero-days recentes em iPhones mais antigos e alguns modelos de Apple Watch e Apple TV.
A Cisco lançou atualizações de segurança para uma falha da Cisco ASA e Firepower que permite a falsificação de endereços IP.
O Google lançou as atualizações de segurança de dezembro de 2023 para Android com uma correção para um zero-day crítico.
A SAP lançou suas atualizações do Patch Day de dezembro de 2023.
A Sierra Wireless lançou conselheiros de segurança para 21 falhas afetando roteadores Sierra OT/IoT.
O ataque de canal lateral SLAM rouba dados sensíveis de CPUs futuras da Intel, AMD e ARM.
A VMware corrigiu uma falha crítica de autenticação em Cloud Director.
WordPress corrigiu uma cadeia POP que poderia levar a ataques de RCE.
Abaixo está a lista completa de vulnerabilidades resolvidas nas atualizações de Patch Tuesday de dezembro de 2023.
Para acessar a descrição completa de cada vulnerabilidade e os sistemas que ela afeta, você pode visualizar o relatório completo aqui.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...