🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft lançou na terça-feira patches para 138 vulnerabilidades de segurança em seu portfólio de produtos, embora nenhuma delas tenha sido listada como publicamente conhecida ou sob ataque ativo.
Das 138 falhas, 30 são classificadas como Críticas, 104 são classificadas como Importantes, três são classificadas como Moderadas e uma é classificada como Baixa em gravidade. Até 61 vulnerabilidades são classificadas como bugs de escalonamento de privilégios, seguidas por 32 de execução remota de código, 15 de divulgação de informações, 14 de falsificação, oito de negação de serviço, seis de desvio de recurso de segurança e duas falhas de adulteração.
A lista de atualização também inclui uma vulnerabilidade que foi corrigida pela AMD (CVE-2025-54518, pontuação CVSS: 7,3) este mês. Relaciona-se a um caso de isolamento impróprio de recursos compartilhados dentro do cache de operação da CPU em produtos baseados em Zen 2 que poderia permitir que um invasor corrompesse instruções executadas em um nível de privilégio diferente, resultando potencialmente em escalonamento de privilégios.
Os patches também são um acréscimo a 127 falhas de segurança que o Google corrigiu no Chromium, que forma a base do navegador Edge da Microsoft.
Uma das vulnerabilidades mais graves corrigidas por Redmond é a CVE-2026-41096 (pontuação CVSS: 9,8), uma falha de buffer overflow baseada em heap que afeta o DNS do Windows e pode permitir que um invasor não autorizado execute código em uma rede.
“Um invasor pode explorar esta vulnerabilidade enviando uma resposta DNS especialmente criada para um sistema Windows vulnerável, fazendo com que o cliente DNS processe incorretamente a resposta e corrompa a memória”, disse a Microsoft. “Em certas configurações, isso pode permitir que o invasor execute código remotamente no sistema afetado sem autenticação”.
Também foram corrigidas pela Microsoft várias falhas classificadas como Críticas e Importantes -
CVE-2026-42826 (pontuação CVSS: 10,0) – Uma exposição de informações confidenciais a um ator não autorizado no Azure DevOps que permite que um invasor não autorizado divulgue informações por meio de uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-33109 (pontuação CVSS: 9,9) – Um controle de acesso impróprio na Instância Gerenciada do Azure para Apache Cassandra que permite que um invasor autorizado execute código em uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-42898 (pontuação CVSS: 9,9) – Uma vulnerabilidade de injeção de código no Microsoft Dynamics 365 (on-premises) que permite que um invasor autorizado execute código em uma rede.
CVE-2026-42823 (pontuação CVSS: 9,9) – Um controle de acesso impróprio em Aplicativos Lógicos do Azure que permite que um invasor autorizado eleve privilégios em uma rede.
CVE-2026-41089 (pontuação CVSS: 9,8) - Um buffer overflow baseado em pilha no Windows Netlogon que permite que um invasor não autorizado execute código em uma rede sem precisar fazer login ou ter acesso prévio, enviando uma solicitação de rede especialmente criada para um servidor Windows que atua como um controlador de domínio.
CVE-2026-33823 (pontuação CVSS: 9,6) – Uma autorização inadequada no Microsoft Teams que permite que um invasor autorizado divulgue informações em uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-35428 (pontuação CVSS: 9,6) – Uma vulnerabilidade de injeção de comando no Azure Cloud Shell que permite que um invasor não autorizado execute falsificação em uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-40379 (pontuação CVSS: 9,3) – Uma exposição de informações confidenciais a um ator não autorizado no Azure Entra ID que permite que um invasor não autorizado execute falsificação em uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-40402 (pontuação CVSS: 9,3) – Um usuário após liberação no Windows Hyper-V que permite que um invasor não autorizado obtenha privilégios de SISTEMA e acesse o ambiente host do Hyper-V.
CVE-2026-41103 (pontuação CVSS: 9,1) – Uma implementação incorreta do algoritmo de autenticação no plug-in Microsoft SSO para Jira e Confluence que permite que um invasor não autorizado obtenha acesso não autorizado ao Jira ou Confluence como um usuário válido e execute ações com as mesmas permissões da conta comprometida.
CVE-2026-33117 (pontuação CVSS: 9,1) – Uma autenticação inadequada no SDK do Azure que permite que um invasor não autorizado ignore um recurso de segurança em uma rede.
CVE-2026-42833 (pontuação CVSS: 9,1) – Uma execução com privilégios desnecessários no Microsoft Dynamics 365 (on-premises) que permite que um invasor autorizado execute código em uma rede e obtenha a capacidade de interagir com aplicativos e conteúdo de outros locatários.
CVE-2026-33844 (pontuação CVSS: 9,0) – Uma validação de entrada inadequada na Instância Gerenciada do Azure para Apache Cassandra que permite que um invasor autorizado execute código em uma rede. (Não requer nenhuma ação do cliente)
“Essa vulnerabilidade crítica de elevação de privilégio permite que um invasor não autorizado se faça passar por um usuário existente, apresentando credenciais falsas, ignorando assim o Entra ID”, disse Adam Barnett, engenheiro-chefe de software da Rapid7, sobre CVE-2026-41103.
Jack Bicer, diretor de pesquisa de vulnerabilidade da Action1, descreve
Das 138 falhas, 30 são classificadas como Críticas, 104 são classificadas como Importantes, três são classificadas como Moderadas e uma é classificada como Baixa em gravidade. Até 61 vulnerabilidades são classificadas como bugs de escalonamento de privilégios, seguidas por 32 de execução remota de código, 15 de divulgação de informações, 14 de falsificação, oito de negação de serviço, seis de desvio de recurso de segurança e duas falhas de adulteração.
A lista de atualização também inclui uma vulnerabilidade que foi corrigida pela AMD (CVE-2025-54518, pontuação CVSS: 7,3) este mês. Relaciona-se a um caso de isolamento impróprio de recursos compartilhados dentro do cache de operação da CPU em produtos baseados em Zen 2 que poderia permitir que um invasor corrompesse instruções executadas em um nível de privilégio diferente, resultando potencialmente em escalonamento de privilégios.
Os patches também são um acréscimo a 127 falhas de segurança que o Google corrigiu no Chromium, que forma a base do navegador Edge da Microsoft.
Uma das vulnerabilidades mais graves corrigidas por Redmond é a CVE-2026-41096 (pontuação CVSS: 9,8), uma falha de buffer overflow baseada em heap que afeta o DNS do Windows e pode permitir que um invasor não autorizado execute código em uma rede.
“Um invasor pode explorar esta vulnerabilidade enviando uma resposta DNS especialmente criada para um sistema Windows vulnerável, fazendo com que o cliente DNS processe incorretamente a resposta e corrompa a memória”, disse a Microsoft. “Em certas configurações, isso pode permitir que o invasor execute código remotamente no sistema afetado sem autenticação”.
Também foram corrigidas pela Microsoft várias falhas classificadas como Críticas e Importantes -
CVE-2026-42826 (pontuação CVSS: 10,0) – Uma exposição de informações confidenciais a um ator não autorizado no Azure DevOps que permite que um invasor não autorizado divulgue informações por meio de uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-33109 (pontuação CVSS: 9,9) – Um controle de acesso impróprio na Instância Gerenciada do Azure para Apache Cassandra que permite que um invasor autorizado execute código em uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-42898 (pontuação CVSS: 9,9) – Uma vulnerabilidade de injeção de código no Microsoft Dynamics 365 (on-premises) que permite que um invasor autorizado execute código em uma rede.
CVE-2026-42823 (pontuação CVSS: 9,9) – Um controle de acesso impróprio em Aplicativos Lógicos do Azure que permite que um invasor autorizado eleve privilégios em uma rede.
CVE-2026-41089 (pontuação CVSS: 9,8) - Um buffer overflow baseado em pilha no Windows Netlogon que permite que um invasor não autorizado execute código em uma rede sem precisar fazer login ou ter acesso prévio, enviando uma solicitação de rede especialmente criada para um servidor Windows que atua como um controlador de domínio.
CVE-2026-33823 (pontuação CVSS: 9,6) – Uma autorização inadequada no Microsoft Teams que permite que um invasor autorizado divulgue informações em uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-35428 (pontuação CVSS: 9,6) – Uma vulnerabilidade de injeção de comando no Azure Cloud Shell que permite que um invasor não autorizado execute falsificação em uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-40379 (pontuação CVSS: 9,3) – Uma exposição de informações confidenciais a um ator não autorizado no Azure Entra ID que permite que um invasor não autorizado execute falsificação em uma rede. (Não requer nenhuma ação do cliente)
CVE-2026-40402 (pontuação CVSS: 9,3) – Um usuário após liberação no Windows Hyper-V que permite que um invasor não autorizado obtenha privilégios de SISTEMA e acesse o ambiente host do Hyper-V.
CVE-2026-41103 (pontuação CVSS: 9,1) – Uma implementação incorreta do algoritmo de autenticação no plug-in Microsoft SSO para Jira e Confluence que permite que um invasor não autorizado obtenha acesso não autorizado ao Jira ou Confluence como um usuário válido e execute ações com as mesmas permissões da conta comprometida.
CVE-2026-33117 (pontuação CVSS: 9,1) – Uma autenticação inadequada no SDK do Azure que permite que um invasor não autorizado ignore um recurso de segurança em uma rede.
CVE-2026-42833 (pontuação CVSS: 9,1) – Uma execução com privilégios desnecessários no Microsoft Dynamics 365 (on-premises) que permite que um invasor autorizado execute código em uma rede e obtenha a capacidade de interagir com aplicativos e conteúdo de outros locatários.
CVE-2026-33844 (pontuação CVSS: 9,0) – Uma validação de entrada inadequada na Instância Gerenciada do Azure para Apache Cassandra que permite que um invasor autorizado execute código em uma rede. (Não requer nenhuma ação do cliente)
“Essa vulnerabilidade crítica de elevação de privilégio permite que um invasor não autorizado se faça passar por um usuário existente, apresentando credenciais falsas, ignorando assim o Entra ID”, disse Adam Barnett, engenheiro-chefe de software da Rapid7, sobre CVE-2026-41103.
Jack Bicer, diretor de pesquisa de vulnerabilidade da Action1, descreve
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #corrige #138 #vulnerabilidades, #incluindo #falhas #de #dns #e #netlogon #rce
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário