Zero-day corrigido pela Microsoft no Patch Tuesday de dezembro. A Microsoft corrige nove vulnerabilidades críticas.

A Microsoft corrigiu uma vulnerabilidade de dia zero no Patch Tuesday de dezembro. Esta vulnerabilidade tem sido usada ativamente pelos hackers contra as versões mais antigas do sistema operativo Windows.

Segundo a Microsoft, a vulnerabilidade (CVE-2018-8611) é um falha de elevação de privilégios (EoP) que afeta as versões desde o Windows 7 até ao Server 2019.

Ela tem uma classificação CVSS de sete, classificando-a como uma falha de alta gravidade .

A EoP é acionaao quando o kernel do Windows não consegue manipular corretamente objetos na memória, de acordo com a Microsoft.

Um invasor que tenha explorado com exito essa vulnerabilidade pode executar código arbitrário no modo kernel (ring 0). Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com permissões root”, escreveu a Microsoft no boletim Patch Tuesday de dezembro.

“the attacker would first have to log onto the system then run a specially crafted application to take control of the affected system,” said Chris Goettl, director of product management, security, Ivanti.

Além do bug de dia zero, a Microsoft corrigiu nove vulnerabilidades críticas e 30 falhas importantes, impactando uma gama de produtos da Microsoft , incluindo o Internet Explorer, Edge, ChackraCore, Microsoft Windows, Office e Microsoft Office Services e Web Apps, e framework .NET.

Uma deles (CVE-2018-8517) é digna de nota porque foi divulgada publicamente antes da atualização programada lançada na terça-feira, mas não foi explorada in-the-wild, de acordo com o boletim de segurança. A falha é uma vulnerabilidade de negação de serviço (DoS) do .NET Framework.

“A remote unauthenticated attacker could exploit this vulnerability by issuing specially crafted requests to the .NET Framework application,” wrote Microsoft. “The vulnerability can be exploited remotely, without authentication.”

Cinco das nove vulnerabilidades críticas estão vinculadas ao mecanismo de script Chakra da Microsoft, um mecanismo JavaScript desenvolvido para o navegador da de Internet Edge. Cada uma das falhas são erros de corrupção de memória que permitiriam que um adversário executasse código arbitrário durante uma sessão do utilizador, elevasse os direitos do utilizador e, finalmente, assumisse o controle do sistema afetado.

“Browser and scripting engine patches should be prioritized for workstation-type devices, meaning any system that is used for email or to access the internet via a browser,” advised Qualys in its Patch Tuesday commentary. “This includes multi-user servers that are used as remote desktops for users. Out of the 9 critical vulnerabilities, 6 can be exploited through browsers.”

Outra notável falha de execução remota de código CVE-2018-8634 (classificado como importante) afeta o mecanismo de conversão de texto em voice da Microsoft (Microsoft’s text-to-speech engine).

“This patch is interesting for a couple of different reasons. First, newer functionalities like text-to-speech have a somewhat unknown attack surface,” wrote Dustin Childs, a certified information systems security professional with Zero Day Initiative, in an analysis.

“This isn’t the first text-to-speech related bug – Android had one a few years ago – but it’s certainly not often seen,” he added. “Secondly, Microsoft doesn’t state a sample exploit scenario, but since generating speech requires an HTTP POST request to the speech service, it’s possible this could be remotely accessible if your application is network facing. Either way, if you employ text-to-speech, don’t overlook this patch.”

No total, os 39 bugs corrigidos pela Microsoft representam um número relativamente pequeno de vulnerabilidades para resolver num só mês, especialmente quando comparado às 87 falhas relatadas pela Adobe na terça-feira.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *