Hoje é a Terça das Correções de Janeiro de 2024 da Microsoft, que inclui atualizações de segurança para um total de 49 falhas e 12 vulnerabilidades de execução de códigos remotos.
Apenas duas vulnerabilidades foram classificadas como críticas, sendo uma uma Falha de segurança do Kerberos do Windows e a outra uma Execução de Código Remoto do Hyper-V.
O número de bugs em cada categoria de vulnerabilidade é listado abaixo:
10 Vulnerabilidades de Elevação de Privilégio
7 Vulnerabilidades de Falha de Recurso de Segurança
12 Vulnerabilidades de Execução de Código Remoto
11 Vulnerabilidades de Divulgação de Informação
6 Vulnerabilidades de Negação de Serviço
3 Vulnerabilidades de Falsificação
O total de 49 falhas não inclui 4 falhas do Microsoft Edge corrigidas em 5 de janeiro.
Para saber mais sobre as atualizações não relacionadas à segurança lançadas hoje, você pode revisar nossos artigos dedicados sobre a nova atualização cumulativa do Windows 11 KB5034123 e a atualização do Windows 10 KB5034122.
Embora não houvesse vulnerabilidades ativamente exploradas ou divulgadas publicamente este mês, algumas falhas são mais interessantes que outras.
A Microsoft corrige uma Vulnerabilidade de Execução de Código Remoto do Office monitorada como
CVE-2024-20677
que permite que atores de ameaças criem documentos do Office maliciosamente elaborados com arquivos de modelo 3D FBX embutidos para executar código remoto.
"Uma vulnerabilidade de segurança existe no FBX que pode levar à execução de código remoto.
Para mitigar essa vulnerabilidade, a capacidade de inserir arquivos FBX foi desativada no Word, Excel, PowerPoint e Outlook para Windows e Mac", explica o boletim de segurança da Microsoft.
"As versões do Office que tinham esse recurso ativado não terão mais acesso a ele.
Isso inclui o Office 2019, Office 2021, Office LTSC para Mac 2021 e Microsoft 365."
"Os modelos 3D em documentos do Office que foram inseridos anteriormente a partir de um arquivo FBX continuarão a funcionar como esperado, a menos que a opção Link para Arquivo tenha sido escolhida no momento da inserção."
Um bug crítico do Windows Kerberos rastreado como
CVE-2024-20674
também foi corrigido hoje, permitindo que um invasor contorne o recurso de autenticação.
"Um invasor não autenticado poderia explorar essa vulnerabilidade estabelecendo um ataque de máquina no meio (MITM) ou outra técnica de spoofing de rede local, depois enviando uma mensagem Kerberos maliciosa para o cliente vítima para se passar pelo servidor de autenticação Kerberos", lê-se num boletim de suporte.
Outros fornecedores que lançaram atualizações ou avisos em janeiro de 2023 incluem:
A Cisco lançou atualizações de segurança para uma falha de elevação de privilégio no Cisco Identity Services Engine.
O Google lançou as atualizações de segurança de janeiro de 2024 para Android.
A Ivanti lançou atualizações de segurança para uma vulnerabilidade crítica de execução de código remoto (RCE) em seu software de Gerenciamento de Ponta (EPM).
Um novo ataque KyberSlash coloca vários projetos de criptografia quântica em risco.
A SAP lançou suas atualizações do Patch Day de janeiro de 2024.
Abaixo está a lista completa de vulnerabilidades resolvidas nas atualizações da Terça das Correções de janeiro de 2023.
Para acessar a descrição completa de cada vulnerabilidade e os sistemas afetados, você pode visualizar o relatório completo aqui.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...