A Microsoft divulgou ontem, na 2° terça-feira do mês, atualizações para tapar mais de 70 brechas de segurança em seus sistemas operacionais Windows e outros softwares, incluindo uma vulnerabilidade que já está sendo explorada. O Patch Tuesday deste mês também inclui correções de segurança para o sistema operacional Windows 11 recém-lançado.
Os produtos afetados pelo Patch Tuesday de outubro incluem Microsoft Office, Exchange Server, MSHTML, Visual Studio e o navegador Edge.
A Microsoft corrigiu 74 vulnerabilidades (81 incluindo o Microsoft Edge) na atualização deste mês, com três classificadas como Críticas, 70 como Importantes.
Essas 81 vulnerabilidades (incluindo Microsoft Edge) são classificadas como:
- 21 vulnerabilidades de elevação de privilégios
- 6 vulnerabilidades de desvio de recurso de segurança
- 20 vulnerabilidades de execução remota de código
- 13 Vulnerabilidades de divulgação de informações
- 5 vulnerabilidades de negação de serviço
- 9 vulnerabilidades de falsificação
Os bugs de dia zero são rastreados como CVE-2021-40449, CVE-2021-41338, CVE-2021-40469 e CVE-2021-41335.
Em especial, o CVE-2021-40449 está sendo explorado ativamente. Emitida uma pontuação de gravidade CVSS de 7,8, esta vulnerabilidade afeta o driver do kernel Win32K. Boris Larin (oct0xor) com Kaspersky relatou a falha para a Microsoft, e em um post de blog publicado ontem, a empresa de segurança cibernética disse que uma desordem de atividade, apelidada de MysterySnail, está utilizando a falha.
A Microsoft também corrigiu três outras vulnerabilidades divulgadas publicamente que não estão sendo exploradas em ataques:
CVE-2021-40469 | Vulnerabilidade de execução remota de código do servidor DNS do Windows |
CVE-2021-41335 | Vulnerabilidade de elevação de privilégio do kernel do Windows |
CVE-2021-41338 | Vulnerabilidade de desvio de recurso de segurança de regras de firewall do Windows AppContainer |
Outras empresas que lançaram atualizações em Outubro:
- As atualizações de segurança de outubro do Android foram lançadas na semana passada.
- As atualizações de segurança de outubro da Adobe foram lançadas para vários aplicativos.
- A Apache lançou o HTTP Web Server 2.4.51 para corrigir um patch incompetente para uma vulnerabilidade explorada ativamente.
- Apple lançou ontem atualizações de segurança para iOS e iPadOS que exploram ativamente uma vulnerabilidade de dia zero.
- Cisco lançou atualizações de segurança para vários produtos este mês.
- SAP lançou suas atualizações de segurança de outubro de 2021.
- VMware lançou duas atualizações de segurança para VMware vRealize Operations.
Referência: KrebsonSecurity & BleepingComputer
| Como podemos te ajudar?
Na Viper IT, nós oferecemos serviços de gerenciamento e aplicação de patches para empresas, que permite detectar quais são suas máquinas vulneráveis e corrigir seus 10, 50, 100 dispositivos de uma só vez, de maneira remota. Os patches são aplicados em um ambiente de teste antes de serem implantados no seu ambiente real, para evitar paralisação dos seus sistemas computacionais. Somente dessa forma o sistema do seu computador e dispositivos continuará funcionando da maneira correta e poderá ser utilizado sem preocupação. Se você se preocupa com a segurança e com a sobrevivência do seu negócio, entre já em contato conosco.
Leia também: