Em 10 de dezembro, a Apple
lançou um grande conjunto de correções para
macOS ,
iOS (incluindo iPadOS) e
watchOS . Talvez o mais perigoso dos bugs fechados tenha sido a vulnerabilidade do FaceTime, afetando todos os dispositivos móveis da Apple a partir do iPhone 6s e do iPad Air 2. Assim como a
vulnerabilidade recentemente descoberta
no WhatsApp , o problema foi encontrado no sistema de processamento de arquivos de vídeo recebidos: um vídeo malicioso pode levar a execução de código arbitrário. A vulnerabilidade CVE-2019-8830 foi descoberta por Natalie Silvanovich, pesquisadora da equipe do Google Project Zero: no ano passado, ela escreveu em detalhes sobre a segurança dos mensageiros instantâneos, incluindo o FaceTime (você pode começar com um
artigo há
um ano com exemplos de vulnerabilidades descobertas anteriormente no aplicativo).
Outra vulnerabilidade foi
descoberta pelo pesquisador Kishan Bagaria: ele descobriu que o envio de documentos para dispositivos Apple próximos resultava continuamente em negação de serviço. Para fazer isso, a capacidade de receber arquivos por meio do mecanismo AirDrop de qualquer pessoa (e não apenas dos usuários da sua lista de contatos) deve estar ativada no seu iPad ou iPhone. Esperava-se que o bug fosse chamado AirDoS: a linha inferior é que a solicitação para receber o arquivo deve ser aceita ou rejeitada e, até que isso seja feito, outros controles no dispositivo móvel não estarão disponíveis. Se você envia solicitações constantemente, o tablet ou smartphone é de fato inoperante. O bug foi encerrado no iOS 13.3 ao introduzir um limite no número de tentativas: se você rejeitar a solicitação três vezes seguidas, todas as tentativas subseqüentes de enviar o arquivo do mesmo dispositivo serão bloqueadas automaticamente.
Um bug interessante foi descoberto e fechado nos processadores Intel (
notícias ,
boletim do fabricante,
site de vulnerabilidades). Pesquisadores de universidades da Áustria, Bélgica e Reino Unido descobriram uma maneira de comprometer o mecanismo do
Software Guard Extensions - ele fornece proteção adicional para dados críticos, como chaves de criptografia, isolando-os de outros processos no sistema. O método de hacking foi escolhido não trivial: a modificação dos registros do processador responsável pelo consumo de energia. Em uma situação normal, eles são usados para aumentar o desempenho ou economizar energia adicional além das configurações padrão do processador.
Os pesquisadores provaram que uma redução significativa na voltagem (por exemplo, -232 mV para o processador Core i3-7100U ou -195 mV para o Core i7-8650U) no momento certo faz com que o SGX funcione mal e leve à corrupção de dados: onde há danos, abre-se uma oportunidade para obter acesso a dados inacessíveis. Como exemplo, os especialistas demonstraram a extração de chaves de criptografia usando os algoritmos RSA e AES.
Como geralmente ocorre com ataques desse tipo, não é fácil selecionar a voltagem e o momento corretos para alterar os parâmetros. Além disso, um ataque real desse tipo, embora possa ser executado remotamente (o que não é típico para vulnerabilidades de hardware), mas requer acesso total ao sistema operacional. Caso contrário, você não poderá acessar os parâmetros do processador. Fechar a vulnerabilidade nesse caso significa atualizar o microcódigo, que ainda precisa chegar a dispositivos reais (todos os processadores de usuário Intel Core da sexta geração são afetados e alguns Xeon) na forma de uma atualização do BIOS.
A Kaspersky Lab publicou um
relatório completo (disponível após o registro, uma breve visão geral
nesta notícia ) sobre ameaças cibernéticas para 2019. De particular interesse no relatório é uma lista de vulnerabilidades que são realmente usadas em malware. Diferentemente das vulnerabilidades teóricas, elas são uma ameaça específica e requerem atualizações imediatas de software. Para os bugs mais populares, no entanto, as atualizações estão disponíveis há mais de um ano. No topo desta lista estão duas vulnerabilidades no Editor de Fórmula do Microsoft Office,
CVE-2017-11882 e
CVE-2018-0802 . Os cinco erros mais usados geralmente estão relacionados ao Microsoft Office. Um exemplo de uma nova vulnerabilidade é o bug CVE-2019-0797 descoberto em março, que na época
já era
explorado em ataques maliciosos.
O que mais aconteceu:Vulnerabilidades críticas
foram descobertas em dois complementos do WordPress: Ultimate Addons para Beaver Builder e Ultimate Addons para Elementor. Para operação, você só precisa saber o endereço de correspondência do administrador do site.
Outra vulnerabilidade de dia zero no Windows (de 7 a 10 e no Windows Server de 2008) é
encerrada pelo patch de dezembro. O bug foi
encontrado na biblioteca do sistema win32k.sys, mas também continha a vulnerabilidade mencionada anteriormente CVE-2019-0797.
Na nova versão do Google Chrome 79
, duas vulnerabilidades críticas foram
fechadas e, ao mesmo tempo, um novo alarme padrão apareceu sobre o uso de pares de login e senha comprometidos. Esta opção estava disponível anteriormente como uma extensão.
14 vulnerabilidades críticas
fechadas no Adobe Reader e Adobe Acrobat. Mais duas vulnerabilidades que levam à execução de código arbitrário no Adobe Photoshop.
Os desenvolvedores de complementos do Firefox agora
precisam usar a autorização de dois fatores. Dessa forma, a Mozilla está tentando reduzir o risco de ataques à cadeia de suprimentos: nesse caso, temos em mente um cenário em que o código malicioso é inserido em uma extensão legítima depois de invadir o computador do desenvolvedor.