0
0
O April Patch Tuesday forneceu um extenso conjunto de atualizações de sistema operacional e aplicativos após alguns meses tranquilos. A Microsoft abordou 97 vulnerabilidades no Windows 10 e 67 no Windows 11. A Adobe atualizou o Reader e o Acrobat para corrigir 62 vulnerabilidades.
Muitas das vulnerabilidades de ambos os fornecedores foram classificadas como críticas, o que resultou em uma agenda de implantação lotada no mês passado. Espera-se que esse aumento das vulnerabilidades identificadas e remediadas continue à medida que avançamos para o verão, impulsionado principalmente pelo aumento da consciência de segurança causada pela guerra cibernética entre a Ucrânia e a Rússia.
Olhando para o futuro um mês na previsão, preciso lembrar a todos que nosso velho amigo Internet Explorer está chegando ao fim (quase) em 15 de junho. O Internet Explorer 11 (IE 11) é o último da linha e não será mais suportado em Equipes, Office 365 e na maioria das versões do sistema operacional Windows. Se você ainda precisa do IE 11 para funcionalidade crítica de negócios, a Microsoft recomenda usar o modo IE no navegador Edge. Essa funcionalidade está programada para ser suportada no Edge até 2029.
O aplicativo de desktop IE 11 continuará recebendo atualizações de segurança no Windows 8.1, Windows 7 (ESU) e Windows Server LTSC até que eles alcancem suas respectivas datas de EOL. Este FAQ da Microsoft fornece os melhores detalhes sobre o final deste aplicativo favorito de longa data.
Um grande impulso continua para mais autenticação multifatorial. A Microsoft anunciou que começará a desativar a Autenticação Básica no Exchange Online em inquilinos de clientes a partir de outubro deste ano. Eles começarão a tomar essa ação aleatoriamente para os protocolos MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP e Remote PowerShell. Este artigo também fornece instruções detalhadas sobre como se preparar para a mudança, então se você ainda estiver usando o Basic Auth, você precisa planejar de acordo.
Em uma nota semelhante, o GitHub anunciou que exigirá que todos os desenvolvedores contribuintes usem autenticação de dois fatores até o final de 2023. O GitHub fornece instruções detalhadas de configuração e muitas opções de dois fatores ao configurar seu sistema. A autenticação de dois fatores fornece uma melhoria de 99% para a segurança de um simples nome de usuário e senha.
E, finalmente, não se esqueça de incluir revisão regular e atualizações dos drivers e BIOS usados por seus sistemas críticos. Falamos sobre a cadência regular de atualizações de aplicativos e sistemas operacionais que são lançadas todos os meses, mas os drivers e o software BIOS também têm seu próprio conjunto de atualizações (e vulnerabilidades). Este software interage diretamente com o firmware e as informações de inicialização armazenadas lá, de modo que comprometer essa profundidade no sistema pode permanecer indesperáveis por um longo período.
Como parte de seu mais recente aviso de segurança, a Lenovo forneceu um extenso conjunto de atualizações de BIOS para seus notebooks este mês para abordar cve-2021-3970, CVE-2021-3971 e CVE-2021-3972. Não deixe de considerar isso e atualizações de outros fornecedores de hardware este mês como parte do seu processo de distribuição patch tuesday.
Previsão de terça-feira de maio de 2022
- Espere o conjunto padrão de atualizações de aplicativos do sistema operacional Microsoft e do Office. Antecipo outro grande conjunto de CVEs abordados nas atualizações do SO. Tivemos uma atualização do framework .NET no mês passado, então pode demorar um pouco antes de outra cair.
- Embora tenha havido uma grande atualização no mês passado, a Adobe ainda é provável que fique por dentro das vulnerabilidades críticas para a Acrobat e Reader e pode fornecer uma versão menor este mês.
- Sem atualizações de segurança ou anúncios em abril da Apple; estar atento para novos lançamentos nas próximas semanas.
- O Google lançou a atualização 101.0.4951.54 para o canal estável da área de trabalho no Windows, Mac e Linux na segunda-feira. O canal beta do ChromeOS foi atualizado no final de abril, então espere uma nova atualização na próxima semana.
- Na quarta-feira, a Mozilla lançou atualizações para o Firefox 100, Firefox ESR 91.9 e Thunderbird 91.9. Estes foram todos classificados high, por isso certifique-se de que eles estão incluídos em sua rodada de atualizações este mês. Eu não esperaria mais atualizações na próxima semana para esses aplicativos.
- A Oracle lançou sua CPU (Critical Product Update, atualização de produto crítico) no mês passado, com java contendo correções para 7 CVEs – dois com pontuações CVSS de 9,8. Se você ainda não atualizou, certifique-se de fazer em breve.
Se você tiver a oportunidade este mês, olhe além de apenas sistema operacional básico e patches de aplicativos; revise o status de suas versões de BIOS e driver e atualize conforme necessário.
FONTE: HELPNET SECURITY