É hora de verificar as atualizações de software. Março viu o lançamento de patches importantes para o iOS da Apple, o Chrome do Google e seu concorrente Firefox, que se preocupa com a privacidade. Os bugs também foram eliminados por gigantes do software empresarial, incluindo Cisco, VMware e SAP.
Aqui está o que você precisa saber sobre as atualizações de segurança lançadas em março.
Apple iOS
A Apple compensou um fevereiro tranquilo lançando dois patches separados em março. No início do mês, a fabricante do iPhone lançou o iOS 17.4, corrigindo mais de 40 falhas, incluindo dois problemas já usados em ataques reais.
Rastreado como CVE-2024-23225, o primeiro bug no kernel do iPhone poderia permitir que um invasor contornasse as proteções de memória. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado”, disse a fabricante do iPhone em seu comunicado. página de suporte.
Rastreada como CVE-2024-23296, a segunda falha, no RTKit, o sistema operacional em tempo real usado em dispositivos incluindo AirPods, também pode permitir que um adversário contorne as proteções de memória do Kernel.
No final de março, a Apple lançou uma segunda atualização de software, iOS 17.4.1, desta vez consertando duas falhas no software do iPhone, ambas rastreadas como CVE-2024-1580. Usando os problemas corrigidos no iOS 17.4.1, um invasor poderia executar código se convencesse alguém a interagir com uma imagem.
Logo após lançar o iOS 17.4.1, a Apple lançou patches para seus outros dispositivos para corrigir os mesmos bugs: Safari 17.4.1, macOS Sonoma 14.4.1 e macOS Ventura 13.6.6.
Google Chrome
Março foi outro mês agitado para o Google, que corrigiu várias falhas em seu navegador Chrome. No meio do mês, o Google lançado 12 patches, incluindo uma correção para CVE-2024-2625, um problema no ciclo de vida do objeto no V8 com uma classificação de gravidade alta.
Problemas de gravidade média incluem CVE-2024-2626, um bug de leitura fora dos limites no Swiftshader; CVE-2024-2627, uma falha de uso após livre no Canvas; e CVE-2024-2628, um problema de implementação inadequada em Downloads.
No final do mês, o Google publicado sete correções de segurança, incluindo um patch para uma falha crítica de uso após liberação no ANGLE rastreada como CVE-2024-2883. Dois outros bugs de uso após liberação, rastreados como CVE-2024-2885 e CVE-2024-2886, receberam uma classificação de alta gravidade. Enquanto isso, CVE-2024-2887 é uma falha de confusão de tipos no WebAssembly.
Os dois últimos problemas foram explorados no concurso de hackers Pwn2Own 2024, então você deve atualizar seu navegador Chrome o mais rápido possível.
Mozilla Firefox
O Firefox da Mozilla teve um março movimentado, depois remendando duas vulnerabilidades de dia zero exploradas em Pwn2Own. CVE-2024-29943 é um problema de desvio de acesso fora dos limites, enquanto CVE-2024-29944 é uma falha de execução de JavaScript privilegiada em manipuladores de eventos que pode levar ao escape da sandbox. Ambas as questões são classificadas como tendo um impacto crítico.
No início do mês, a Mozilla lançado Firefox 124 para resolver 12 problemas de segurança, incluindo CVE-2024-2605, uma falha de escape de sandbox que afeta os sistemas operacionais Windows. Um invasor poderia ter aproveitado o Windows Error Reporter para executar código arbitrário no sistema, escapando da sandbox, disse a Mozilla.
CVE-2024-2615 vê bugs de segurança de memória de classificação crítica corrigidos no Firefox 124. “Alguns desses bugs mostraram evidências de corrupção de memória e presumimos que com esforço suficiente (eles) poderiam ter sido explorados para executar código arbitrário”, disse Mozilla. .
Android
O Google lançou seu março Boletim de segurança do Androidcorrigindo quase 40 problemas em seu sistema operacional móvel, incluindo dois bugs críticos em seu componente de sistema. CVE-2024-0039 é uma falha de execução remota de código, enquanto CVE-2024-23717 é uma vulnerabilidade de elevação de privilégio.
“O mais grave desses problemas é uma vulnerabilidade crítica de segurança no componente do sistema que pode levar à execução remota de código sem a necessidade de privilégios de execução adicionais”, disse o Google em seu comunicado.
