O mês de outubro revelou-se um período de intensa atividade no cenário da segurança cibernética. Grandes empresas de tecnologia como Apple, Google e Microsoft lançaram atualizações urgentes para corrigir vulnerabilidades críticas que estavam sendo exploradas por invasores.
Outubro foi um mês agitado para a Apple, que lançou uma série de atualizações críticas, incluindo o iOS 17.1. Esta atualização trouxe correções essenciais para cerca de duas dezenas de vulnerabilidades de segurança. Entre as vulnerabilidades mais preocupantes, destacam-se as relacionadas ao Kernel, o núcleo do sistema operacional iOS, e ao WebKit, que alimenta o navegador Safari.
A vulnerabilidade rastreada como CVE-2023-42849 relacionada ao Kernel poderia permitir que um invasor, que já tivesse acesso ao dispositivo, contornasse as medidas de segurança de memória, abrindo caminho para potenciais ataques. Além disso, três falhas no WebKit, rastreadas como CVE-2023-40447, CVE-2023-41976 e CVE-2023-42852, representaram ameaças sérias, pois poderiam levar à execução arbitrária de código.
A Apple também lançou atualizações para dispositivos mais antigos e para aqueles que não desejavam atualizar imediatamente, incluindo o iOS e o iPad OS 16.7.2. Essas medidas visam garantir que todos os usuários, independentemente de seus dispositivos, estejam protegidos contra possíveis ataques.
Microsoft: proteção do universo Windows
A Microsoft, conhecida por seu sistema operacional Windows e uma variedade de outros softwares, realizou seu tradicional “Patch Tuesday” em outubro. Nesta ocasião, a empresa corrigiu mais de 100 vulnerabilidades, destacando-se duas vulnerabilidades de dia zero no Microsoft WordPad e Skype for Business.
Uma das vulnerabilidades, a CVE-2023-36563, relacionada ao WordPad, poderia expor hashes NTLM se um usuário abrisse um arquivo malicioso. Embora exigisse interação do usuário, a gravidade da exposição de informações pessoais era motivo de preocupação. Outra vulnerabilidade, a CVE-2023-41763, relacionada ao Skype for Business, poderia resultar na divulgação de endereços IP ou números de porta por meio de uma chamada de rede especialmente criada.
Uma correção crítica abordou a vulnerabilidade CVE-2023-35349, que poderia permitir que um invasor não autenticado executasse código remotamente. A natureza urgente dessas correções destaca a importância de manter os sistemas Windows atualizados para proteger os dados e a privacidade dos usuários.
Google Chrome: navegação segura
O Wired também mostra que o navegador Google Chrome, recebeu 20 correções de segurança em outubro, incluindo um patch para uma vulnerabilidade classificada como crítica (CVE-2023-5218). Essa vulnerabilidade estava relacionada ao Site Isolation e representava um problema “uso após liberação”, o que poderia ser explorado por invasores.
Outras correções abordaram vulnerabilidades de impacto médio e baixo, como problemas de “uso após liberação” no Blink History e estouros de buffer de heap em arquivos PDF. Embora nenhuma dessas vulnerabilidades tenha sido explorada até o momento, a natureza ativa dos ataques direcionados ao navegador torna essas atualizações vitais.
Android: protegendo dispositivos móveis
O Android, recebeu uma atualização crítica em outubro. Esta atualização corrigiu 53 problemas, incluindo duas vulnerabilidades que já haviam sido exploradas em ataques reais.
A primeira dessas vulnerabilidades, a CVE-2023-4863, relacionada ao libwebp, poderia ser explorada para instalar spyware em aplicativos que usam a biblioteca para codificação e decodificação de imagens no formato WebP. A seriedade dessa vulnerabilidade levou o Google a alertar sobre a possibilidade de exploração limitada e direcionada.
Outra vulnerabilidade crítica, a CVE-2023-40129, poderia levar à execução remota de código sem a necessidade de privilégios adicionais. Essas correções estavam disponíveis para dispositivos Pixel do Google e da série Galaxy da Samsung, ressaltando a importância de manter os dispositivos Android atualizados.
Cisco: vulnerabilidades exploradas
A gigante do software Cisco também enfrentou desafios em outubro, com a necessidade de lidar com vulnerabilidades já exploradas. A vulnerabilidade CVE-2023-20198, com uma pontuação CVSS de 10, afetou o software Cisco IOS XE, expondo dispositivos físicos e virtuais que possuíam o recurso HTTP ou HTTPS Server habilitado.
Exploração bem-sucedida dessa vulnerabilidade permitiria que um invasor obtivesse acesso de alto nível e injetasse comandos com privilégios de root elevados. Diante dessa situação crítica, a Cisco recomendou fortemente que os clientes desabilitassem o recurso HTTP Server em sistemas voltados para a Internet ou restringissem o acesso a fontes confiáveis.
Importância da atualização
As ações tomadas por Apple, Microsoft, Google e Cisco em outubro enfatizam a importância de manter sistemas e aplicativos atualizados para proteger os usuários contra ameaças cibernéticas. As vulnerabilidades corrigidas poderiam expor dados sensíveis, permitir a execução de código malicioso e facilitar o acesso não autorizado.
