A Microsoft lançou na última terça-feira (11) o pacote de atualizações de segurança de outubro para seus produtos. O pacote de segurança corrige um total de 85 vulnerabilidades, das quais 15 foram categorizadas como críticas e 69 como importantes. Entretanto, a Microsoft não chegou a corrigir duas vulnerabilidades zero-day no Microsoft Exchange, que são chamadas de ProxyNotShell, e estão registradas como CVE-2022-41040 e CVE-2022-41082. Até que as correções para estas vulnerabilidades estejam disponíveis, o ideal é seguir as orientações da Microsoft.
Do número total de vulnerabilidades corrigidas, 39 são de escalonamento de privilégios, 20 de execução de código remoto (RCE), 11 de divulgação de informações, 8 de negação de serviço, 4 de spoofing e 2 delas permitem contornar recursos de segurança.
O número cumulativo de vulnerabilidades corrigidas até agora (em 2022) nos faz deduzir que o número total deste ano termine superando a quantidade de falhas corrigidas em 2021. Este fato faria com que 2022 passasse a ser o ano com o maior número de vulnerabilidades reportadas nos produtos da Microsoft.
O pacote de atualizações de outubro corrige duas vulnerabilidades classificadas como importantes e que, de acordo com os critérios da Microsoft, são consideradas zero-day.
A primeira é a CVE-2022-41033, uma vulnerabilidade de escalada de privilégios no Serviço de Eventos do Sistema COM+ do Windows que afeta vários produtos. Esta falha recebeu uma pontuação de 7,8 na escala de gravidade do CVSS e há um exploit que está sendo ativamente utilizado em ataques. Caso este exploit seja explorado com sucesso, pode permitir que um cibercriminosos obtenha permissões de SYSTEM.
A outra vulnerabilidade é a CVE-2022-41043, que ocorre no Microsoft Office 2019 para Mac e no Office LTSC para Mac 2021. Esta falha foi classificada como importante e recebeu uma pontuação de 4 na escala de gravidade e já tinha sido divulgado publicamente antes da atualização.
O pacote de atualizações de outubro também inclui correções para os produtos da Adobe. No total, foram corrigidas 29 vulnerabilidades em produtos como Acrobat, Reader, ColdFusion, Commerce (Magento), e Adobe Dimension. De acordo com o projeto Zero Day Initiative, entre todas elas, as mais críticas são as que atingem o ColdFusion - muitas delas foram classificadas como críticas com uma pontuação de 9,8 em 10 na escala de gravidade.
Outra novidade, que foi anunciada recentemente pela Microsoft, é a possibilidade de se inscrever no feed RSS para receber notificações sempre que novas atualizações estiverem disponíveis no guia de atualizações de segurança da Microsoft. Desta forma, os usuários podem se manter informados não apenas sobre as atualizações divulgadas na segunda terça-feira de cada mês pela empresa, mas também sobre os patches extras ou até mesmo se houver falhas que a Microsoft não corrigiu e que exigem ações de mitigação preventiva.