0
0
A Patch Tuesday de outubro de 2022 foi um pouco incomum no mês passado, pois ‘meio que’ se repetiu na semana seguinte. A Microsoft deu a volta por cima e lançou uma série de atualizações não relacionadas à segurança que corrigiram alguns problemas de conexão descobertos – forçando muitos a realizar outro ciclo de patch não planejado. Eles também deixaram várias vulnerabilidades de dia zero sem solução, nos deixando imaginando quando esses itens em aberto serão resolvidos. Novembro pode ser um Patch Tuesday importante para encerrar essas pontas soltas.
Vulnerabilidades do OpenSSL
As vulnerabilidades relatadas no OpenSSL 3 provocaram muita cobertura da imprensa este mês. Existem duas vulnerabilidades de estouro de buffer – CVE-2022-3602 e CVE-2022-3786 ; a primeira vulnerabilidade foi relatada com uma classificação Crítica devido à possibilidade de execução remota de código, mas posteriormente foi rebaixada para uma classificação Alta devido à dificuldade de exploração. A segunda vulnerabilidade foi classificada como Alta devido à possibilidade de um ataque de negação de serviço.
Essas vulnerabilidades estão presentes nas versões 3.0.0 a 3.0.6 do OpenSSL e corrigidas na versão 3.0.7. O uso limitado dessas versões mais recentes até agora também contribuiu para as classificações altas. A preocupação inicial era que o CVE-2022-3602 pudesse levar a outra situação Heartbleed que resultou na exploração generalizada em 2014 do CVE-2014-0160 no OpenSSL. A boa notícia é que esses CVEs recentes são muito mais difíceis de explorar, mas você deve atualizar para a versão mais recente do OpenSSL em seu ambiente durante o próximo ciclo de patch para se proteger dos ataques que certamente virão.
Atualizações fora de banda
A Microsoft lançou várias atualizações não relacionadas à segurança e fora de banda este mês. Apenas uma semana após o último Patch Tuesday, houve uma atualização para a maioria dos sistemas operacionais de servidores e estações de trabalho para resolver “um problema que pode afetar alguns tipos de conexões Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Essas conexões podem ter falhas de handshake.” Essa correção não é necessária se você não estiver enfrentando problemas de conexão. Aqui está o boletim do Windows 11, se você quiser ler mais.
Em 28 de outubro, sob o KB 5020953 , a Microsoft lançou outra atualização fora de banda para resolver problemas de sincronização do OneDrive que poderiam resultar em seu não funcionamento. Como pode ser visto na KB, ele requer um download e instalação manuais e não é necessário se você não estiver enfrentando problemas. Tal como acontece com todas as atualizações da Microsoft, nós as receberemos no Patch Tuesday da próxima semana, se você não tiver tido a chance de atualizar e precisar delas.
Microsoft e Google
Mencionei no mês passado que a Microsoft havia divulgado duas novas vulnerabilidades de dia zero em 30 de setembro. Eles forneceram algumas ferramentas e mitigação manual para a Vulnerabilidade de Elevação de Privilégios do Exchange Server ( CVE-2022-41040 ) e a Vulnerabilidade de Execução Remota de Código do Exchange Server ( CVE-2022-41082 ) associada aos ataques ProxyNotShell. Apesar do Patch Tuesday de outubro e vários lançamentos fora da banda ao longo do mês, ainda não vimos uma atualização. Talvez na próxima semana?
Três meses de atualizações permanecem para o Windows 7 e o Server 2008/2008 R2 até que a última atualização de segurança estendida (ESU) seja lançada em 10 de janeiro de 2023. O Google também anunciou que está encerrando o suporte do Chrome para Windows 7 em fevereiro de 2023 e que o Chrome 109 ser o último a oferecer suporte a esses sistemas operacionais.
Uma nota final antes da previsão, a Microsoft mencionou no Ignite este ano que está renomeando o pacote Office de 32 anos como Microsoft 365. Seu marketing anunciou discretamente essa mudança e você poderá ver algumas mudanças de nome reais a partir das atualizações de novembro.
Previsão de terça-feira de atualização de novembro de 2022
- Como eu antecipei no mês passado, as atualizações da ESU continuam recebendo muita atenção com mais de 40 CVEs abordadas à medida que sua EOL se aproxima. Espere que essa tendência continue este mês.
- Espere uma atualização para o Microsoft Exchange Server este mês para resolver as duas vulnerabilidades de dia zero relatadas. Fique de olho no Microsoft Office enquanto ele se transforma no Microsoft 365. Assim como as atualizações da ESU, provavelmente haverá um esforço para resolver vulnerabilidades abertas em todos os sistemas operacionais restantes antes dos feriados.
- O Adobe Acrobat e o Reader geralmente não recebem uma atualização importante este mês, mas, como sempre, fique atento a uma atualização com alguns CVEs.
- A Apple lançou seu mais novo sistema operacional macOS 13 chamado Ventura em 24 de outubro. No mesmo dia eles lançaram Big Sur 11.7.1 e Monterey 12.6.1. Essas atualizações de segurança devem ser incluídas neste ciclo de patch, caso você ainda não o tenha feito.
- Os canais beta do Google foram atualizados esta semana para ChromeOS e Desktop. Você deve antecipar que eles serão formalmente liberados em breve. O Google atualizou o canal de suporte de longo prazo para 102.0.5005.184 esta semana, para que você possa considerar isso em sua atividade de patch.
- As últimas atualizações do Mozilla para Thunderbird, Firefox e Firefox ESR foram lançadas em 18 de outubro. Poderíamos ver atualizações para todos os três na próxima semana.
Será bom se a Microsoft nos fornecer algumas atualizações este mês que resolvam muitas das pontas soltas que mencionei, e podemos passar para as férias de final de ano com sistemas seguros e estáveis e paz de espírito.
FONTE: HELPNET SECURITY