Adobe corrige falhas do Flash e Connect

Adobe-flash-bug-patchA Adobe Systems liberou nesta semana patches de segurança agendados para seu aplicativo Flash Player assim como para a plataforma web de conferência Adobe Connect, que é popular em empresas.

As atualizações de segurança do Flash Player corrigem nove vulnerabilidades críticas que podem ser exploradas remotamente para executar código malicioso em computadores. Todas elas tinham sido reportadas para a Adobe de forma privada por meio da iniciativa Trend Micro’s Zero Day, um programa de aquisição de exploits.

Os usuários devem fazer o upgrade para o Flash Player 23.0.0.207 no Windows e Mac e para o Flash Player 11.2.202.644 no Linux. As versões do Flash embutidas no Chrome, Microsoft Edge e IE 11 serão atualizadas automaticamente pelos navegadores.

Esse novo pacote de patches do Flash chega apenas duas semanas após a Adobe liberar uma atualização de emergência para uma vulnerabilidade do Flash que os criminosos já estavam explorando.

Além do Flash Player, a empresa também liberou um patch para o Adobe Connect no Windows. A nova versão 9.5.7 corrige uma vulnerabilidade de validação no módulo de registro de eventos que pode ser explorada em ataques de scripting em sites cruzados.

Fonte: IDG Now!

Adobe corrige várias falhas de segurança do Flash

Adobe-flash-bug-patchA Adobe corrigiu nesta semana mais de 30 vulnerabilidades nos seus produtos Flash Player e Digital Editions, sendo que a maioria delas poderiam ser exploradas instalar malware remotamente em computadores.

A maior parte das falhas, 26 delas, foram solucionadas no Flash Player em todas as plataformas suportadas: Windows, Mac e Linux. Vinte e três dessas vulnerabilidades podem levar à execução remota de código e as outras três podem ser usada para revelar informações ou burlar recursos de segurança, segundo afirmou a Adobe em seu alerta sobre as correções.

A Adobe pede para os usuários atualizarem o Flash Player para a versão 23.0.0.162 no Windows e no Mac e para a versão 11.2.202.635 no Linux. A nova versão do Flash Player com suporte estendido, que só recebe patches de segurança, está agora em 18.0.0.375.

Vale notar que a Adobe decidiu recentemente atualizar a versão NPAPI do plug-in do Flash Player para Linux, que estava travado na versão 11.2 há alguns anos. Essa é a versão do plug-in do Flash usada no Linux por todos os navegadores com exceção do Chrome, que usa uma arquitetura mais nova de plug-in chamada PPAPI.

Digital Editions

Além das correções do Flash, a Adobe também liberou a versão 4.5.2 do Digital Editions para Windows, Mac, iOS e Android. Essa nova versão do app de leitura de e-books (livros digitais) corrige oito vulnerabilidades, todas as quais podiam ser exploradas para execução remota de códigos.

Por fim, a Adobe atualizou seu Adobe AIR SDK & Compiler para Windows para a versão 23.0.0.257.

Fonte: IDGNow!

LastPass corrige vulnerabilidades graves

lastpassAs vulnerabilidades foram descobertas por dois investigadores de forma independente e, em ambos os casos, a LastPass demorou pouco mais de um dia para as corrigir. A empresa assumiu as falhas e comunicou também a correção. Mathias Karlsson descobriu um bug que permite criar um URL falso, fazendo os usuários pensar que estavam a acessando o Twitter e digitando a sua senha, para a roubar.

O sistema depois reencaminha o usuário para o Twitter, para que este não se aperceba do ataque. Por outro lado, Travis Ormandy, da Google Security Team, anunciou uma falha na extensão do LastPass para o Firefox, que também já foi sanada.

As recomendações de segurança mantêm-se: não clique em links de origens desconhecidas, use senhas diferentes para cada serviço e ative a autenticação de dois fatores sempre que estiver disponível.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Exame Informática

Oracle libera pacote com várias correções para o Java

JavaA Oracle liberou um pacote de correções de segurança. Ao todo, 276 ameaças foram consertadas nessa atualização. Do total, estima-se que 159 podem acessar sistemas remotamente, sem a necessidade de autenticação. No topo da lista estão patches para Java, que corrigem 13 vulnerabilidades. Essa frente é destacada como prioritária, pois muitas aplicações usam a plataforma, instalada em um grande número de sistemas.

“Usuários realmente precisam rodar essas correções do Java CPU (Critical Patch Update) o quanto antes”, afirmou John Matthew Holt, CTO da companhia de segurança de aplicações Waratek. De acordo com a Oracle, parte desses patches requerem ainda maior urgência e atenção, por exemplo, o de máquinas virtuais para servidores e desktops HotSpot Java, que recebeu alta pontuação do CVSS (Common Vulnerabilities Scoring System).

O Oracle Database Server recebeu correções para nove vulnerabilidades, uma elencada como crítica. Enquanto isso, o Oracle MySQL database recebeu correções para 22 novas questões de segurança, das quais quatro com alto grau de severidade.

Os produtos e componentes do Fusion Middleware receberam um total de 35 correções, cinco apontadas como críticas. Já a suíte de sistemas Sun recebeu 34 patches, cinco consertam pontos no Solaris OS e switches de rede que podem ser acessadas remotamente.

Há ainda correções especificas para produtos como o Oracle Supply Chain, Oracle Communications, Oracle Banking Platform, Oracle Financial Services Applications, Health Sciences, Oracle Insurance Applications, Oracle Utilities Applications, além de outras ferramentas para o varejo. A recomendação da Oracle é que essas correções sejam instaladas o quanto antes.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Google corrige 36 falhas de segurança do Android

google_marshmallowA última série de patches de segurança para o Android resolve cerca de duas dúzias de vulnerabilidades nos drivers de sistema para vários componentes hardware de diferentes fabricantes de chips.

O maior número de falhas críticas foram direcionadas aos drivers de vídeo Qualcomm, o driver de som, driver GPU, driver do Wi-Fi e driver da câmera. Algumas dessas vulnerabilidades poderiam permitir aplicações maliciosas a executarem códigos mal intencionados no kernel do sistema levando ao comprometimento permanente do dispositivo.

Falhas similares foram corrigidas no driver Wi-Fi da Broadcom, driver de câmera Nvidia, e o driver de gerenciamento de energia MediaTek. Essas vulnerabilidades conseguiam dar a aplicações privilégios ou configurações do sistema que, ao contrário, não deveriam ter. Em alguns casos, as falhas permitiam execução do código-fonte kernel, mas apenas se o invasor comprometesse um serviço diferente para se comunicar com o driver vulnerável.

Essas falhas são um alerta para que fabricantes de chips direcionem maiores esforços ao testarem seus códigos, que tipicamente consistem em drivers que rodam nas áreas mais privilegiadas do sistema operacional.

Detalhamento das correções

Além dos reparos às 21 vulnerabilidades nos drivers para diferentes componentes, o Google consertou mais de doze falhas no componente do mediaserver. Uma crítica, 12 de alto risco e uma falha moderada foram reparadas no mediaserver, um componente que lida com o processamento de áudio e vídeo no Android.

O Google tem trabalhado para fortalecer o mediaserver do seu sistema operacional no último ano. Uma vulnerabilidade crítica foi reparada no libwebm, que poderia permitir aplicações executarem código no contexto do processo do mediaserver que conta com privilégios especiais.

Fora isso, outra falha de alto risco foi consertada no camada de emulação do SD card, outra moderada no Framework UI e uma no administrador de atividades.

O Google liberou sua atualização na última segunda-feira (06/06) para seus aparelhos Nexus: Nexus 5, Nexus 5X, Nexus 6 e Nexus 6P. A companhia também notificou fabricantes de aparelhos sobre tais reparos no dia 2 de maio para que elas possam preparar suas próprias atualizações de firmware.

Os patches serão liberados também no Android Open Source Project (AOSP) nas próximas 48 horas para que a comunidade de desenvolvedores de firmware Android e outros projetos que confiam no código AOSP possam integrá-los.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, a referência a essa notícia.

Fonte: IDG Now!

Oracle: grande correção de falhas de segurança

JavaA Oracle anunciou na última terça-feira (19) uma atualização contendo 136 correções para vulnerabilidades de segurança em seus produtos. Segundo um comunicado, as correções foram aplicadas em 49 produtos da empresa, incluindo o Database Server, Java, MySQL, E-Business Suite e Solaris. O patch é o primeiro da companhia a utilizar o Common Vulnerability Scoring Standard (CVSS) 3.0 em vez do antigo sistema CVSS 2.0.

Ao utilizar a nova versão do CVSS, a norte-americana consegue identificar a severidade de algumas ameaças e quais devem ser priorizadas. A atualização inclui correções para cinco questões no banco de dados Oracle Server, dois dos quais podem ser explorados remotamente sem autenticação. As falhas encontradas e definidas como críticas ou de alto risco estão presentes no Database Server, Enterprise Manager Grid Control, Middleware, E-Business Suite, Supply Chain Products Suite, Financial Services Software, Sun Systems Products, PeopleSoft Products, Virtualization, Berkeley DB, MySQL e Java SE.

Em março, a empresa lançou um patch de emergência para o Java, que corrigiu uma falha de segurança que permitia que atacantes executassem códigos remotamente sem a necessidade de credenciais de usuários, levando a um potencial sistema de hijacking e roubos de dados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Adobe corrige vulnerabilidades críticas do Flash

adobe-flash-playerA Adobe publicou nessa quinta-feira uma nova versão do Adobe Flash que corrige 24 vulnerabilidades consideradas críticas na plataforma.
A empresa recomenda que os usuários instalem o mais rápido possível a atualização de segurança e alerta: ataques baseados em uma dessas falhas já foram identificados em ação.

Para atualizar, basta visitar a página oficial do Adobe Flash e baixar a nova versão. Com a atualização a versão do programa passa a ser Flash Player 21.0.0.213 para Windows e Mac, Flash Player 11.2.202.616 para Linux. O Flash Player Extended Support Release, voltado para o mercado corporativo, foi atualizado para a versão 18.0.0.343. Uma outra opção de proteção para os usuários é manter ativado o recurso de atualização automática do Adobe Flash.

Entre as vulnerabilidades corrigidas com essa atualização, aparece a CVE-2016-1019, que já vem sendo explorada por hackers para distribuição de malware, inclusive ransomwares. De acordo com os pesquisadores de segurança da Proofpoint, a falha de segurança se tornou um alvo da ação de cibercriminosos desde 31 de Março.

As outras vulnerabilidades permitem execução remota de código e poderiam ser utilizadas como ponto de invasão por hackers no futuro. Lembrando sempre que, na maioria dos casos, ataques acontecem através de falhas de segurança que já foram consertadas por seus fabricantes, mas que não foram atualizadas pelos usuários.

Agradecemos ao Davi, claborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Código Fonte