Microsoft Patch Tuesday, August 2022 Edition

Microsoft today released updates to fix a record 141 security vulnerabilities in its Windows operating systems and related software. Once again, Microsoft is patching a zero-day vulnerability in the Microsoft Support Diagnostics Tool (MSDT), a service built into Windows. Redmond also addressed multiple flaws in Exchange Server — including one that was disclosed publicly prior to today — and it is urging organizations that use Exchange for email to update as soon as possible and to enable additional protections.

In June, Microsoft patched a vulnerability in MSDT dubbed “Follina” that had been used in active attacks for at least three month prior. This latest MSDT bug — CVE-2022-34713 — is a remote code execution flaw that requires convincing a target to open a booby-trapped file, such as an Office document. Microsoft this month also issued a different patch for another MSDT flaw, tagged as CVE-2022-35743.

The publicly disclosed Exchange flaw is CVE-2022-30134, which is an information disclosure weakness. Microsoft also released fixes for three other Exchange flaws that rated a “critical” label, meaning they could be exploited remotely to compromise the system and with no help from users. Microsoft says addressing some of the Exchange vulnerabilities fixed this month requires administrators to enable Windows Extended protection on Exchange Servers. See Microsoft’s blog post on the Exchange Server updates for more details.

“If your organization runs local exchange servers, this trio of CVEs warrant an urgent patch,” said Kevin Breen, director of cyber threat research for Immerse Labs. “Exchanges can be treasure troves of information, making them valuable targets for attackers. With CVE-2022-24477, for example, an attacker can gain initial access to a user’s host and could take over the mailboxes for all exchange users, sending and reading emails and documents. For attackers focused on Business Email Compromise this kind of vulnerability can be extremely damaging.”

The other two critical Exchange bugs are tracked as CVE-2022-24516 and CVE-2022-21980. It’s difficult to believe it’s only been a little more than a year since malicious hackers worldwide pounced in a bevy of zero-day Exchange vulnerabilities to remotely compromise the email systems for hundreds of thousands of organizations running Exchange Server locally for email. That lingering catastrophe is reminder enough that critical Exchange bugs deserve immediate attention.

The SANS Internet Storm Center‘s rundown on Patch Tuesday warns that a critical remote code execution bug in the Windows Point-to-Point Protocol (CVE-2022-30133) could become “wormable” — a threat capable of spreading across a network without any user interaction.

“Another critical vulnerability worth mentioning is an elevation of privilege affecting Active Directory Domain Services (CVE-2022-34691),” SANS wrote. “According to the advisory, ‘An authenticated user could manipulate attributes on computer accounts they own or manage, and acquire a certificate from Active Directory Certificate Services that would allow elevation of privilege to System.’ A system is vulnerable only if Active Directory Certificate Services is running on the domain. The CVSS for this vulnerability is 8.8.”

Breen highlighted a set of four vulnerabilities in Visual Studio that earned Microsoft’s less-dire “important” rating but that nevertheless could be vitally important for the security of developer systems.

“Developers are empowered with access to API keys and deployment pipelines that, if compromised, could be significantly damaging to organizations,” he said. “So it’s no surprise they are often targeted by more advanced attackers. Patches for their tools should not be overlooked. We’re seeing a continued trend of supply-chain compromise too, making it vital that we ensure developers, and their tools, are kept up-to-date with the same rigor we apply to standard updates.”

Greg Wiseman, product manager at Rapid7, pointed to an interesting bug Microsoft patched in Windows Hello, the biometric authentication mechanism for Windows 10.  Microsoft notes that the successful exploitation of the weakness requires physical access to the target device, but would allow an attacker to bypass a facial recognition check.

Wiseman said despite the record number of vulnerability fixes from Redmond this month, the numbers are slightly less dire.

“20 CVEs affect their Chromium-based Edge browser and 34 affect Azure Site Recovery (up from 32 CVEs affecting that product last month),” Wiseman wrote. “As usual, OS-level updates will address a lot of these, but note that some extra configuration is required to fully protect Exchange Server this month.”

As it often does on Patch Tuesday, Adobe has also released security updates for many of its products, including Acrobat and Reader, Adobe Commerce and Magento Open Source. More details here.

As always, please consider backing up your system or at least your important documents and data before applying system updates. And if you run into any problems with these updates, please drop a note about it here in the comments.

from Krebs on Security https://ift.tt/8FMumsU
via IFTTT

Llega la novena versión de Rust para Linux y dice adiós al soporte para versiones anteriores a Linux 3.2

Vaya que el trabajo del soporte de los controladores Rust para Linux ya se ha encaminado y ha comenzado un desarrollo bastante continuo, pues no tiene mucho que fue anunciada la versión 8 de los parches y ya ahorita tenemos la versión  9.

Y es que en esta novena versión que se ha propuesto, cabe mencionar que como tal es una versión simplificada de la octava edición publicada hace unos días. El kit se distingue por una importante reducción de tamaño y por dejar solo el mínimo más necesario, suficiente para construir un módulo kernel escrito en Rust.

Se supone que el parche mínimo facilitará la adopción del soporte de Rust en el núcleo principal. Después de brindar un soporte mínimo, se planea aumentar gradualmente la funcionalidad existente, transfiriendo otros cambios de la rama Rust-for-Linux.

Esta es la serie de parches (v9) para agregar soporte para Rust como segundo lenguaje al kernel de Linux…

Como de costumbre, un agradecimiento especial para ISRG (Grupo de Investigación de Seguridad en Internet) y Google por su apoyo financiero en este esfuerzo.

En comparación con la versión 8, el tamaño del parche se ha reducido de 40 000 a 13 000 líneas de código. Por ejemplo, la novena versión incluye solo el 3 % del código (500 líneas) del paquete de cajas «kernel» y el 60 % de la biblioteca alloc, lo que le permite crear los módulos de kernel más simples usando el tipo Vec<i32> y mostrando información en el registro del kernel usando la macro «pr_info!».

Por otra parte, en relación con Rust y Linux, vale mencionar que hace poco los desarrolladores del proyecto Rust advirtieron a los usuarios sobre el aumento inminente de los requisitos para el entorno Linux en el compilador, el administrador de paquetes Cargo y la biblioteca estándar libstd.

A partir de Rust 1.64, programado para el 22 de septiembre de 2022, los requisitos mínimos para Glibc se elevarán de la versión 2.11 a la 2.17 y el kernel de Linux de la 2.6.32 a la 3.2. Las restricciones también se aplican a los binarios de Rust creados con libstd.

Las distribuciones RHEL 7, SLES 12-SP5, Debian 8 y Ubuntu 14.04 cumplen con los nuevos requisitos. Se interrumpirá la compatibilidad con RHEL 6, SLES 11-SP4, Debian 7 y Ubuntu 12.04. Entre las razones para desaprobar el soporte para sistemas Linux más antiguos se encuentran los recursos limitados para continuar manteniendo la compatibilidad con entornos más antiguos.

¿Por qué aumentar los requisitos?
Queremos que Rust y los archivos binarios producidos por Rust sean lo más ampliamente utilizables posible. Al mismo tiempo, el proyecto Rust solo tiene recursos limitados para mantener la compatibilidad con entornos antiguos.

Hay dos partes en los requisitos de la cadena de herramientas: los requisitos mínimos para ejecutar el compilador de Rust en un sistema host y los requisitos mínimos para los binarios compilados de forma cruzada.

Los requisitos mínimos para las cadenas de herramientas del host afectan a nuestro sistema de compilación. Rust CI produce artefactos binarios para docenas de objetivos diferentes. La creación de archivos binarios que admitan versiones antiguas de glibc requiere la creación de un sistema operativo con glibc antiguo (para compilaciones nativas) o el uso de una raíz de compilación con una versión anterior de glibc (para compilaciones cruzadas).

En particular, la compatibilidad con Glibcs ​​anteriores requiere el uso de herramientas más antiguas cuando se verifica en un sistema de integración continua, frente a los mayores requisitos de versiones en LLVM y las utilidades de compilación cruzada. El aumento en los requisitos de la versión del kernel se debe a la capacidad de libstd para usar nuevas llamadas al sistema sin necesidad de mantener capas para garantizar la compatibilidad con kernels más antiguos.

Se recomienda a los usuarios que usan ejecutables creados por Rust en entornos con kernels de Linux más antiguos que actualicen sus sistemas, permanezcan en versiones anteriores del compilador o mantengan su propia bifurcación libstd con capas para mantener la compatibilidad.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/ueR9BKn
via IFTTT