Google, Apple e Microsoft fecham brechas de segurança em vários produtos

Várias empresas do ramo tecnológico – tanto para usuários finais como no setor corporativo – promoveram extensas atualizações de segurança em seus produtos, efetivamente fechando brechas que, em alguns casos, já vinham sendo exploradas por hackers e outros atores insidiosos do mundo digital.

De todas elas, a mais notável é a Apple, que trouxe o primeiro patch de segurança para iPhones e iPads em oito semanas, mas nomes como Google, SAP, Oracle e diversas outras também aparecem no rol de marcas que usaram o mês de julho para aprimorar suas proteções.

Julho foi o mês da segurança digital, com empresas do setor de consumo e B2B atualizando recursos de proteção para assegurar a saúde digital de seus clientes (Imagem: Fly:D/Unsplash)

Segurança no iOS e iPadOS

A atualização promovida pela Apple conserta 39 falhas espalhadas pelas suas linhas de smartphones e tablets. Uma dessas falhas, intitulada CVE-2022-32832, permitia que um aplicativo rodasse códigos com privilégios de acesso ao kernel do sistema operacional – na prática, esse código chegaria mais longe do que deveria, e mudaria mais coisas também.

O iOS 15.6 e o iPadOS 15.6 também corrigem falhas no webkit do navegador Safari, além de melhorias de proteção no IOMobileFrameBuffer, Audio, iCloud Photo Library, ImageIO, Apple Neural Engine e alguns drivers de processamento de vídeo (GPU).

De acordo com a Apple, a empresa não recebeu nenhum relato das falhas sendo aproveitadas por hackers.

Google traz correções para todas as áreas

A empresa de Mountain View também aproveitou a temporada de melhorias de segurança para corrigir uma série de brechas espalhadas por vários produtos da casa: no navegador Chrome, a falha “dia zero” CVE-2022-2294 permitia a entrega de um spyware chamado “Devil’s Tongue” (“Língua do Diabo”, na tradução literal) – amplamente usada para monitorar e atacar ativistas e jornalistas no Oriente Médio.

Segundo os pesquisadores da firma de segurança Avast, o Devil’s Tongue é um programa veiculado pela empresa “Candiru” – não confunda com o peixe da bacia amazônica: neste caso, o nome remete a uma companhia israelense de espionagem aos moldes do controverso NSO Group, e tal qual seu concorrente, também vende spywares a governos com alta taxa de repressão.

No que tange ao Android, as atualizações de julho chegaram para corrigir uma vulnerabilidade crítica no componente sistêmico da plataforma, que em tese poderia permitir a execução remota de código sem a necessidade de privilégios administrativos. Mais além, uma falha no kernel, recentemente corrigida, poderia permitir o vazamento de informações pessoais armazenadas no aparelho. O Google não relatou nenhum ataque que explorasse quaisquer das brechas.

Paralelamente, mas ainda sobre o Android, empresas como MediaTek, Qualcomm, UniSoc e Samsung lançaram melhorias dentro de suas próprias linhas de produtos.

Patch Tuesday da Microsoft corrige mais de 80 problemas de segurança

A costumeira atualização da Microsoft, desta vez, é bem notável, corrigindo a famigerada brecha CVE-2022-22047 e outros 83 problemas. A falha em questão permitia que hackers usassem o servidor CSRSS (Client/Server Runtime Subsystem) do Windows para obter privilégios administrativos de sistema e, na prática, alterar configurações essenciais ou instalar aplicações maliciosas sem a necessidade de permissão.

De todas as 84 correções, aliás, 52 tinham essa natureza de “escalar privilégios” em maior ou menor grau. Em uma situação que é praticamente um meme a este ponto, o patch da Microsoft trouxe novos problemas: usuários relataram que aplicações dependentes do MS Access Runtime não estavam mais abrindo – felizmente, a empresa já prometeu um patch para corrigir o patch.

Ah, sim: as falhas corrigidas afetam o Windows 10, Windows 11 e o Windows Server 2022, então é recomendável corrigí-las assim que possível.

Outras empresas que atualizaram suas práticas de segurança incluem:

• SAP: correção de 27 falhas de segurança, incluindo a CVE-2022-35228, que permitia que hackers obtivessem tokens de autenticação de rede. Segundo a SAP, ainda que um mau ator conseguisse explorar essa falha, seria necessário um usuário legítimo para que ela tivesse fruto.
• Oracle: 349 patches foram liberados pela gigante americana, incluindo um que corrige a falha conhecida como “Spring4Shell”, que permitia a execução de código malicioso em caráter remoto. 
• Cisco: “múltiplas” falhas corrigidas por uma nova atualização da empresa, sobretudo na plataforma Cisco Nexus Dashboard. Tais falhas permitiam que hackers conduzissem diversas ações remotas, como executar comandos, fazer o upload de arquivos e imagens ou forjar pedidos de aberturas de páginas externas. Destas, a falha CVE-2022-20857 foi considerada “extremamente grave”, com 9,8 pontos (de 10) em grau de severidade.
• Atlassian: a empresa que é mais conhecida por ter comprado o Trello em 2017 liberou uma série de ações que, embora nada tenham a ver com seu app mais conhecido, ainda impactam uma grande suite de programas, como Confluence, Jira, Bamboo, Fisheye, Crucible e Bitbucket. Ao todo, são três grandes vulnerabilidades de segurança (CVE-2022-26136, CVE-2022-26137 e CVE-2022-26138) que permitiam ações como acesso externo a grupos de trabalho, contorno de filtros de proteção para aplicações externas e a adição de mais pedidos de filtragem de segurança para “afogar” requisições de sistema e impedí-lo de trabalhar.

Todas as empresas recomendam que as atualizações sejam feitas assim que se mostrarem disponíveis aos seus usuários.

Via Wired