0
0
Os lançamentos do Patch Tuesday de março seguiram os passos de fevereiro com baixo número de CVEs relatados e resolvidos, e todas as atualizações classificadas como importantes, exceto uma atualização crítica para o Microsoft Exchange Server. Poderia april Patch terça-feira fornecer o dilúvio de atualizações críticas que estávamos esperando no mês passado?
Melhorias de segurança para o Windows 11
A Microsoft tem estado claramente ocupada trabalhando em melhorias de segurança em várias arenas. No início desta semana, eles anunciaram um extenso conjunto de melhorias de segurança para o Windows 11, fornecendo proteção para o que eles chamam de “chip para nuvem”. Esses novos recursos e aprimoramentos aproveitam a assistência de hardware do novo Processador de Segurança Pluton no nível do chip até a proteção da nuvem através do Windows Defender SmartScreen para evitar phishing e injeção de malware de sites maliciosos.
Outros recursos de segurança cobertos incluem proteção de credencial, bloqueio de config, proteção de dados pessoais e aprimoramentos padrão de integridade de código protegido pelo Hipervisor (HVCI). A Microsoft também anunciou seu próximo serviço de autopatch voltado para clientes Windows Enterprise E3. Com base nos comentários de vários sites, há alguma preocupação sobre quem realmente precisa disso, então vamos ver como ele se sai quando disponível.
Spring4Shell
Houve muitas vulnerabilidades quentes este mês, com o CVE-2022-22965, também conhecido como Spring4Shell ou SpringShell, no Spring Framework sendo o mais quente. O Spring Framework é uma plataforma Java usada para suportar o desenvolvimento de aplicativos Java.
Relatórios mais recentes mostram que, embora muitas plataformas possam conter essa vulnerabilidade, apenas uma pequena porcentagem está aberta à exploração devido à configuração ambiental específica. Independentemente disso, como o Log4j, você deve digitalizar seus sistemas e atualizar para a versão mais recente para obter a correção no lugar.
Apple e VMware
A Apple anunciou duas vulnerabilidades de zero-day, CVE-2022-22675 e CVE-2022-22674, e forneceu atualizações do iOS 15 e monterey. Ainda estamos esperando atualizações para Catalina e Big Sur.
E uma última notificação que vale a pena mencionar veio da VMware no VMSA-2022-011. Essas oito vulnerabilidades impactaram várias versões de cinco produtos diferentes, incluindo o VMware Workspace ONE Access. Cinco das vulnerabilidades são classificadas como críticas e têm escores de CVSS de 9,1 a 9,8. Ao contrário das vulnerabilidades da Primavera e da Apple, essas oito não foram relatadas como sendo exploradas na natureza. Se você não tiver acompanhado toda a ação em março e início de abril, planeje identificar e incluir as atualizações aplicáveis para esses produtos em seu lançamento do Patch Tuesday.
Catálogo CISA
Vou mencionar novamente este mês que a Agência de Segurança cibernética e infraestrutura dos EUA continua sua forte resposta à atividade russa aumentada, adicionando vulnerabilidades exploradas conhecidas em intervalos regulares. Agora há 616 entradas em seu catálogo. Embora seja obrigatório que as agências governamentais resolvam as vulnerabilidades pelas datas mostradas, este catálogo fornece um bom ponto de partida para quem procura vulnerabilidades de alta prioridade para identificar em seus sistemas e corrigir.
Previsão de terça-feira de abril de 2022
- Plano para atualizações mais críticas este mês; Não vejo a tendência de apenas importantes continuarem. As atualizações do sistema operacional incluirão as Atualizações estendidas de segurança (ESUs) para Windows 7 e Server 2008. Espero que esteja trabalhando para migrar para um novo SO, já que eles terminam em janeiro. O Microsoft Office e o Exchange Server verão algumas pequenas atualizações.
- A Adobe deve receber uma grande atualização do Acrobat and Reader, mas ainda não houve um pré-anúncio.
- O lançamento de zero-day para iOS 15 e Monterey está fora, então fique atento a atualizações semelhantes para Catalina e Big Sur em breve.
- O Google lançou o Canal de Suporte a Longo Prazo 96.0.4664.204 para dispositivos ChromeOS contendo três vulnerabilidades de alto nível na quarta-feira. A Atualização do Canal Estável para Desktop 100.0.4896.75 para Windows, Mac e Linux foi lançada na segunda-feira. Esta atualização inclui apenas uma correção de segurança classificada como High.
- A Mozilla lançou atualizações para Firefox 99, Firefox ESR 91.8 e Thunderbird 91.8 na quarta-feira. Não espere novas atualizações na próxima semana.
Não se esqueça que a CPU (Oracle Critical Product Update, atualização crítica do produto oracle) chega na próxima semana em 19 de abril. Com toda essa atividade relacionada ao Java da Log4j e Spring, podemos ver um grande conjunto de CVEs nessa versão.
FONTE: HELPNET SECURITY