Microsoft lança atualizações para corrigir falhas críticas no Windows e outros softwares
14 de Junho de 2023

A Microsoft lançou correções para seu sistema operacional Windows e outros componentes de software para remediar grandes falhas de segurança como parte das atualizações do Patch Tuesday de junho de 2023.

Das 73 falhas, seis são classificadas como críticas, 63 como importantes, duas como moderadas e uma como baixa em gravidade.

Isso inclui também três problemas que a gigante da tecnologia abordou em seu navegador Edge baseado no Chromium.

Vale ressaltar que a Microsoft também fechou outras 26 falhas no Edge - todas elas enraizadas no próprio Chromium - desde o lançamento das atualizações de maio do Patch Tuesday.

Isso inclui a CVE-2023-3079 , uma falha zero-day que o Google divulgou como sendo ativamente explorada na natureza na semana passada.

As atualizações de junho de 2023 também marcam a primeira vez em vários meses que não apresentam nenhuma falha zero-day em produtos da Microsoft que seja publicamente conhecida ou esteja sob ataque ativo no momento do lançamento.

No topo da lista de correções está a CVE-2023-29357 (pontuação CVSS: 9,8), uma falha de escalonamento de privilégios no SharePoint Server que pode ser explorada por um invasor para obter privilégios de administrador.

"Um invasor que obteve acesso a tokens de autenticação JWT falsificados pode usá-los para executar um ataque de rede que contorna a autenticação e permite que ele acesse os privilégios de um usuário autenticado", disse a Microsoft.

"O invasor não precisa de privilégios nem o usuário precisa executar nenhuma ação".

Também corrigidos pela Redmond estão três bugs críticos de execução remota de código ( CVE-2023-29363 , CVE-2023-32014 e CVE-2023-32015 , pontuações CVSS: 9,8) no Pragmatic General Multicast (PGM) do Windows que podem ser utilizados para "realizar execução remota de código e tentar acionar código malicioso".

A Microsoft já havia abordado uma falha semelhante no mesmo componente ( CVE-2023-28250 , pontuação CVSS: 9,8), um protocolo projetado para entregar pacotes entre vários membros da rede de maneira confiável, em abril de 2023.

Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo — Adobe, Android, Arm, Cisco, Citrix, Dell, Drupal, F5, Fortinet, GitLab, Google Chrome, Hitachi Energy, HP, IBM, Lenovo, distribuições Linux Debian, Oracle Linux, Red Hat, SUSE e Ubuntu, MediaTek, Mitsubishi Electric, MOVEit Transfer, Mozilla Firefox, Firefox ESR e Thunderbird, NETGEAR, Qualcomm, Samsung, SAP, Schneider Electric, Siemens, Splunk, Synology, Trend Micro, VMware, WordPress, Zoom e Zyxel.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...