Microsoft Patch Tuesday, June 2022 Edition

Microsoft on Tuesday released software updates to fix 60 security vulnerabilities in its Windows operating systems and other software, including a zero-day flaw in all supported Microsoft Office versions on all flavors of Windows that’s seen active exploitation for at least two months now. On a lighter note, Microsoft is officially retiring its Internet Explorer (IE) web browser, which turns 27 years old this year.

Three of the bugs tackled this month earned Microsoft’s most dire “critical” label, meaning they can be exploited remotely by malware or miscreants to seize complete control over a vulnerable system. On top of the critical heap this month is CVE-2022-30190, a vulnerability in the Microsoft Support Diagnostics Tool (MSDT), a service built into Windows.

Dubbed “Follina,” the flaw became public knowledge on May 27, when a security researcher tweeted about a malicious Word document that had surprisingly low detection rates by antivirus products. Researchers soon learned that the malicious document was using a feature in Word to retrieve a HTML file from a remote server, and that HTML file in turn used MSDT to load code and execute PowerShell commands.

“What makes this new MS Word vulnerability unique is the fact that there are no macros exploited in this attack,” writes Mayuresh Dani, manager of threat research at Qualys. “Most malicious Word documents leverage the macro feature of the software to deliver their malicious payload. As a result, normal macro-based scanning methods will not work to detect Follina. All an attacker needs to do is lure a targeted user to download a Microsoft document or view an HTML file embedded with the malicious code.”

Kevin Beaumont, the researcher who gave Follina its name, penned a fairly damning account and timeline of Microsoft’s response to being alerted about the weakness. Beaumont says researchers in March 2021 told Microsoft they were able achieve the same exploit using Microsoft Teams as an example, and that Microsoft silently fixed the issue in Teams but did not patch MSDT in Windows or the attack vector in Microsoft Office.

Beaumont said other researchers on April 12, 2022 told Microsoft about active exploitation of the MSDT flaw, but Microsoft closed the ticket saying it wasn’t a security issue. Microsoft finally issued a CVE for the problem on May 30, the same day it released recommendations on how to mitigate the threat from the vulnerability.

Microsoft also is taking flak from security experts regarding a different set of flaws in its Azure cloud hosting platform. Orca Security said that back on January 4 it told Microsoft about a critical bug in Azure’s Synapse service that allowed attackers to obtain credentials to other workspaces, execute code, or leak customer credentials to data sources outside of Azure.

In an update to their research published Tuesday, Orca researchers said they were able to bypass Microsoft’s fix for the issue twice before the company put a working fix in place.

“In previous cases, vulnerabilities were fixed by the cloud providers within a few days of our disclosure to the affected vendor,” wrote Orca’s Avi Shua. “Based on our understanding of the architecture of the service, and our repeated bypasses of fixes, we think that the architecture contains underlying weaknesses that should be addressed with a more robust tenant separation mechanism. Until a better solution is implemented, we advise that all customers assess their usage of the service and refrain from storing sensitive data or keys in it.”

Amit Yoran, CEO of Tenable and a former U.S. cybersecurity czar, took Microsoft to task for silently patching an issue Tenable reported in the same Azure Synapse service.

“It was only after being told that we were going to go public, that their story changed…89 days after the initial vulnerability notification…when they privately acknowledged the severity of the security issue,” Yoran wrote in a post on LinkedIn. “To date, Microsoft customers have not been notified. Without timely and detailed disclosures, customers have no idea if they were, or are, vulnerable to attack…or if they fell victim to attack prior to a vulnerability being patched. And not notifying customers denies them the opportunity to look for evidence that they were or were not compromised, a grossly irresponsible policy.”

Also in the critical and notable stack this month is CVE-2022-30136, which is a remote code execution flaw in the Windows Network File System (NFS version 4.1) that earned a CVSS score of 9.8 (10 being the worst). Microsoft issued a very similar patch last month for vulnerabilities in NFS versions 2 and 3.

“This vulnerability could allow a remote attacker to execute privileged code on affected systems running NFS. On the surface, the only difference between the patches is that this month’s update fixes a bug in NFSV4.1, whereas last month’s bug only affected versions NSFV2.0 and NSFV3.0,” wrote Trend Micro’s Zero Day Initiative. “It’s not clear if this is a variant or a failed patch or a completely new issue. Regardless, enterprises running NFS should prioritize testing and deploying this fix.”

Beginning today, Microsoft will officially stop supporting most versions of its Internet Explorer Web browser, which was launched in August 1995. The IE desktop application will be disabled, and Windows users who wish to stick with a Microsoft browser are encouraged to move to Microsoft Edge with IE mode, which will be supported through at least 2029.

For a closer look at the patches released by Microsoft today and indexed by severity and other metrics, check out the always-useful Patch Tuesday roundup from the SANS Internet Storm Center. And it’s not a bad idea to hold off updating for a few days until Microsoft works out any kinks in the updates: usually has the dirt on any patches that may be causing problems for Windows users.

As always, please consider backing up your system or at least your important documents and data before applying system updates. And if you run into any problems with these updates, please drop a note about it here in the comments.

from Krebs on Security

KDE Plasma 5.25 ya fue liberado y estas son sus novedades

Se acaba de presentar la nueva versión del popular entorno de escritorio KDE Plasma 5.25 y en esta nueva versión podremos encontrar que el configurador, se ha rediseñado la página para configurar el tema general. Se puede aplicar elementos de tema de forma selectiva, como estilo de aplicación y escritorio, fuentes, colores, marcos de ventanas, iconos y cursores, así como aplicar por separado un tema a la interfaz de la pantalla de inicio y la pantalla de bloqueo.

Otro de los cambios que se destaca de esta nueva versión, es el soporte mejorado para gestos en pantalla, ademas de que tambien se agregó la capacidad de usar gestos anclados a los bordes de la pantalla en efectos con guion.

Para ingresar al modo de descripción general, se puede presionar «W» mientras se mantiene presionada la tecla Meta («Windows»), o usar un gesto de pellizco con cuatro dedos en el panel táctil o la pantalla táctil. Para navegar entre escritorios virtuales, se puede deslizar tres dedos para mover el contenido hacia los lados, tambien se puede usar un gesto de deslizar cuatro dedos hacia arriba o hacia abajo para ver las ventanas abiertas y el contenido del escritorio.

Ademas de ello, tambien podremos encontrar que se agregó la capacidad de aplicar el color de resaltado de los elementos activos (acento) en relación con el fondo de escritorio, así como usar un color de acento para los encabezados y cambiar el tono de todo el esquema de color. El tema Breeze Classic tiene soporte integrado para colorear encabezados con un color de énfasis.

Por otra parte, el administrador de ventanas de KWin ahora admite el uso de sombreadores en scripts con la implementación de efectos. KWin-scripts KCM traducidos a QML. Se ha agregado un nuevo efecto de fusión y se han mejorado los efectos de cambio. Se ha rediseñado la página para configurar scripts para KWin.

Tambien se destaca que se ha agregado una configuración para controlar si el modo de control de pantalla táctil está habilitado (en sistemas con x11, solo puede habilitar o deshabilitar el modo de pantalla táctil de forma predeterminada y, cuando usa Wayland, también puede cambiar automáticamente el escritorio al modo de pantalla táctil) cuando se recibe un evento especial del dispositivo, por ejemplo, al girar la cubierta 360 grados o al quitar el teclado). Cuando activa el modo de pantalla táctil, las sangrías entre los iconos de la barra de tareas aumentan automáticamente.

En la lista de documentos abiertos recientemente en el menú contextual del administrador de tareas, se permite la visualización de elementos no relacionados con archivos, por ejemplo, se pueden mostrar conexiones recientes a escritorios remotos.

De los demás cambios que se destacan de esta nueva versión:

  • La posición de los iconos en el modo Vista de carpetas se guarda con referencia a la resolución de la pantalla.
    La navegación por teclado está habilitada en los paneles y en la bandeja del sistema.
  • Se ha agregado un efecto de desvanecimiento para cambiar suavemente entre los esquemas de color antiguos y nuevos.
  • En el Centro de control de programas (Discover), se proporciona la visualización de permisos para aplicaciones en formato Flatpak. La barra lateral muestra todas las subcategorías de la categoría de aplicación seleccionada.
  • La página con información sobre la aplicación ha sido completamente rediseñada.
  • Se agregó un efecto de animación separado que se aplica cuando se ingresa una contraseña incorrecta.
  • Se agregó un cuadro de diálogo para administrar grupos de widgets ( Contención ) en la pantalla en modo de edición, que le permite controlar visualmente la ubicación de paneles y applets en relación con diferentes monitores.
  • Se agregó la visualización de información sobre el fondo de escritorio seleccionado (nombre, autor) en la configuración.
  • Se proporciona soporte para paneles flotantes para temas de diseño.
  • En la página de información del sistema (Centro de información), se ha ampliado la información general en el bloque «Acerca de este sistema» y se ha agregado una nueva página de «Seguridad de firmware», que, por ejemplo, muestra si UEFI Secure Boot está habilitado.
  • Mejora continua de la sesión basada en el protocolo Wayland.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Descargar y obtener

Para los interesados en evaluar el trabajo de la nueva versión, pueden hacerlo a través de una compilación en vivo del proyecto openSUSE y una compilación del proyecto KDE Neon User Edition. Mientras que para los que quieran instalar el entorno en su sistema, deberán esperar algunas horas en lo que están disponibles los paquetes en los repositorios de su distribucion.

from Linux Adictos

PAHO calls for solidarity after 20% drop in blood donations in Latin America and the Caribbean during first year of the pandemic

PAHO calls for solidarity after 20% drop in blood donations in Latin America and the Caribbean during first year of the pandemic
Cristina Mitchell
14 Jun 2022

from PAHO/WHO | Pan American Health Organization