Patch Tuesday da Microsoft corrige 34 falhas e 1 Zero-Day

A Microsoft lançou hoje uma importante atualização no Patch Tuesday de dezembro de 2023, que inclui atualizações de segurança para um total de 34 falhas e uma vulnerabilidade não corrigida em CPUs AMD.

Embora oito bugs de execução remota de código (RCE) tenham sido corrigidos, a Microsoft classificou apenas três como críticos.

No total, havia quatro vulnerabilidades críticas, sendo uma no Power Platform (Spoofing), duas no Internet Connection Sharing (RCE) e uma na Windows MSHTML Platform (RCE).

Confira a lista de falhas corrigidas divulgadas pela Microsoft:

• 10 Vulnerabilidades de elevação de privilégio

• 8 Vulnerabilidades de Remote Code Execution

• 6 Vulnerabilidades de Information Disclosure

• 5 vulnerabilidades de Denial of Service

• 5 vulnerabilidades de Spoofing

Do total de 34 falhas, não estão inclui as 8 falhas do Microsoft Edge, corrigidas em 7 de dezembro de 2023.

O Patch Tuesday deste mês corrige uma vulnerabilidade Zero-Day da AMD divulgada em agosto deste ano, que permanecia sem correção.

A vulnerabilidade ‘CVE-2023-20588 – AMD: CVE-2023-20588 AMD Speculative Leaks’ é um bug de divisão por zero em processadores AMD específicos que podem potencialmente retornar dados confidenciais.

A falha foi divulgada em agosto de 2023, e a AMD não forneceu nenhuma correção além de recomendar a seguinte mitigação.

“Para produtos afetados, a AMD recomenda seguir as práticas recomendadas de desenvolvimento de software”, diz um boletim da AMD no CVE-2023-20588.

“Os desenvolvedores podem mitigar esse problema garantindo que nenhum dado com privilégios seja usado nas operações da divisão antes de alterar os limites de privilégio. A AMD acredita que o impacto desta vulnerabilidade é baixo porque requer acesso local.”

Como parte das atualizações do Patch Tuesday de dezembro, a Microsoft lançou uma atualização de segurança que resolve esse problema nos processadores AMD que foram afetados.

Outros fornecedores que lançaram atualizações ou avisos em dezembro de 2023 incluem:

O ataque 5Ghoul pode causar interrupções de serviço em telefones 5G com chips Qualcomm e MediaTek

A Atlassian lançou atualizações de segurança para quatro falhas críticas de execução remota de código (RCE) no Confluence, Jira e Bitbucket.

A Apple transferiu patches de zero-day recentes para iPhones mais antigos e alguns modelos Apple Watch e Apple TV.

A Cisco lançou atualizações de segurança para uma falha do Cisco ASA e Firepower que permite a falsificação de endereços IP.

O Google lançou as atualizações de segurança do Android em dezembro de 2023 com uma correção para um Zero-day crítico.

A SAP lançou suas atualizações do Patch Day de dezembro de 2023.

A Sierra Wireless divulgou recomendações de segurança para 21 falhas que afetam os roteadores Sierra OT/IoT.

O ataque de side-channel SLAM rouba dados confidenciais das novas CPUs da Intel, AMD e Arm.

A VMware corrigiu um desvio crítico de autenticação no Cloud Director.

O WordPress corrigiu uma cadeia POP que poderia levar a ataques RCE.

Abaixo está a lista completa de vulnerabilidades corrigidas nas atualizações do Patch Tuesday de dezembro de 2023.

Via - Bleeping Compute