Microsoft corrige 98 problemas de segurança em vários produtos e uma vulnerabilidade de dia zero
A Microsoft lançou outro Patch Tuesday de janeiro de 2023 que corrigiu uma vulnerabilidade de dia zero fortemente explorada e 98 outros bugs, onze dos quais são classificados como “críticos” porque permitem a execução remota de código, ignoram recursos de segurança ou escalonamento de privilégios do usuário no sistema. .
Microsoft Patch Tuesday é um termo informal para o dia em que a Microsoft lança atualizações para seus produtos, incluindo Windows e Office. Este é o cronograma que a Microsoft segue desde 2003 como um relógio. Como qualquer outro software, o Windows descobre seu próprio conjunto de vulnerabilidades e a Microsoft lança correções para elas toda terça-feira.
Esta atualização corrige a vulnerabilidade de dia zero explorada ativamente CVE-2023-21674 – Windows Advanced Local procedure Call (ALPC) para acesso não autorizado. “Um invasor que explorar com sucesso esta vulnerabilidade pode obter privilégios de sistema”explica o Boletim da Microsoft.
Embora a Microsoft tenha classificado outra vulnerabilidade, “CVE-2023-21549 – Windows SMB Witness Service Elevation of Privilege Service”, conforme divulgado publicamente, o pesquisador de segurança da Akamai Steve Kupchik afirma que, sob o processo de divulgação normal, esta vulnerabilidade não pode ser classificada desta forma .
O número de vulnerabilidades fechadas pelo último patch por categoria:
- 39 – Escalação de privilégios;
- 4 – Ignorar recursos de segurança;
- 33 – Execução remota de código;
- 10 – Divulgação de informações;
- 10 – Recusa de serviço;
- 2 – Spoofing (substituição por falsificação de dados).