github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: OpenSSL corrige novas falhas de segurança com atualização mais recente. O OpenSSL Project lançou correções para corrigir várias falhas de segurança, incluindo um bug de alta gravidade no kit de ferramentas de criptografia de código aberto que poderia expor os usuários a ataques mal-intencionados. Rastreado como CVE-2023-0286, o problema está relacionado a um caso que pode permitir que um adversário “leia o conteúdo da memória ou decrete uma negação de serviço”, disseram os mantenedores em um comunicado. “Na maioria dos casos, o ataque exige que o invasor forneça a cadeia de certificados e a CRL, nenhuma das quais precisa ter uma assinatura válida”, disse a OpenSSL. “Se o invasor controlar apenas uma dessas entradas, a outra entrada já deve conter um endereço X.400 como um ponto de distribuição CRL, o que é incomum.” As correções chegam quase dois meses depois que o OpenSSL conectou uma falha de baixa gravidade (CVE-2022-3996) que surge ao processar um certificado X.509, resultando em uma condição de negação de serviço.
:arrow_right: Google lança 15 correções de segurança para seu navegador Chrome. O Google anunciou esta semana que a primeira versão estável do Chrome 110 traz 15 correções de segurança, incluindo 10 que abordam vulnerabilidades relatadas por pesquisadores externos. Dos bugs relatados externamente, três são classificados como ‘alta gravidade’. Isso inclui uma falha de confusão de tipo no mecanismo V8, um problema de implementação inadequada no modo de tela inteira e uma vulnerabilidade de leitura fora dos limites no WebRTC. O Chrome 110 também resolve cinco vulnerabilidades de gravidade média relatadas por pesquisadores externos, incluindo uma falha de uso após liberação na GPU, um bug de implementação inapropriada em Download, um defeito de estouro de buffer do heap na WebUI e dois problemas de confusão de tipo em Transferência de dados e DevTools. O Google diz que distribuiu mais de US $ 26.000 em recompensas de bugs para os pesquisadores de relatórios. O gigante da internet não menciona nenhuma dessas vulnerabilidades sendo exploradas em ataques.
:arrow_right: Infraestrutura crítica em risco de novas vulnerabilidades encontradas em dispositivos IIoT. Um conjunto de 38 vulnerabilidades de segurança foi descoberto em dispositivos sem fio de internet industrial das coisas (IIoT) de quatro fornecedores diferentes que podem representar uma superfície de ataque significativa para agentes de ameaças que procuram explorar ambientes de tecnologia operacional (OT). As falhas, em poucas palavras, oferecem um ponto de entrada remoto para ataque, permitindo que adversários não autenticados ganhem uma posição e, posteriormente, usem isso como alavanca para se espalhar para outros hosts, causando danos significativos. Dos 38 bugs, três afetam o servidor de acesso remoto (RAS) da ETIC Telecom – CVE-2022-3703, CVE-2022-41607 e CVE-2022-40981, e podem ser usados de forma abusiva para assumir completamente o controle de dispositivos suscetíveis. As descobertas destacam como as redes OT podem ser colocadas em risco ao tornar os dispositivos IIoT acessíveis diretamente na Internet, criando efetivamente um “ponto único de falha” que pode ignorar todas as proteções de segurança.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: