Daily Archives: July 9, 2024

Microsoft Patch Tuesday, July 2024 Edition

Posted on by

Microsoft Corp. today issued software updates to plug at least 139 security holes in various flavors of Windows and other Microsoft products. Redmond says attackers are already exploiting at least two of the vulnerabilities in active attacks against Windows users.

The first Microsoft zero-day this month is CVE-2024-38080, a bug in the Windows Hyper-V component that affects Windows 11 and Windows Server 2022 systems. CVE-2024-38080 allows an attacker to increase their account privileges on a Windows machine. Although Microsoft says this flaw is being exploited, it has offered scant details about its exploitation.

The other zero-day is CVE-2024-38112, which is a weakness in MSHTML, the proprietary engine of Microsoft’s Internet Explorer web browser. Kevin Breen, senior director of threat research at Immersive Labs, said exploitation of CVE-2024-38112 likely requires the use of an “attack chain” of exploits or programmatic changes on the target host, a la Microsoft’s description: “Successful exploitation of this vulnerability requires an attacker to take additional actions prior to exploitation to prepare the target environment.”

“Despite the lack of details given in the initial advisory, this vulnerability affects all hosts from Windows Server 2008 R2 onwards, including clients,” Breen said. “Due to active exploitation in the wild this one should be prioritized for patching.”

Satnam Narang, senior staff research engineer at Tenable, called special attention to CVE-2024-38021, a remote code execution flaw in Microsoft Office. Attacks on this weakness would lead to the disclosure of NTLM hashes, which could be leveraged as part of an NTLM relay or “pass the hash” attack, which lets an attacker masquerade as a legitimate user without ever having to log in.

“One of the more successful attack campaigns from 2023 used CVE-2023-23397, an elevation of privilege bug in Microsoft Outlook that could also leak NTLM hashes,” Narang said. “However, CVE-2024-38021 is limited by the fact that the Preview Pane is not an attack vector, which means that exploitation would not occur just by simply previewing the file.”

In last month’s Patch Tuesday, Microsoft fixed a flaw in its Windows WiFi driver that attackers could use to install malicious software just by sending a vulnerable Windows host a specially crafted data packet over a local network. Jason Kikta at Automox said this month’s CVE-2024-38053 — a security weakness in Windows Layer Two Bridge Network — is another local network “ping-of-death” vulnerability that should be a priority for road warriors to patch.

“This requires close access to a target,” Kikta said. “While that precludes a ransomware actor in Russia, it is something that is outside of most current threat models. This type of exploit works in places like shared office environments, hotels, convention centers, and anywhere else where unknown computers might be using the same physical link as you.”

Automox also highlighted three vulnerabilities in Windows Remote Desktop a service that allocates Client Access Licenses (CALs) when a client connects to a remote desktop host (CVE-2024-38077, CVE-2024-38074, and CVE-2024-38076). All three bugs have been assigned a CVSS score of 9.8 (out of 10) and indicate that a malicious packet could trigger the vulnerability.

Tyler Reguly at Forta noted that today marks the End of Support date for SQL Server 2014, a platform that according to Shodan still has ~110,000 instances publicly available. On top of that, more than a quarter of all vulnerabilities Microsoft fixed this month are in SQL server.

“A lot of companies don’t update quickly, but this may leave them scrambling to update those environments to supported versions of MS-SQL,” Reguly said.

It’s a good idea for Windows end-users to stay current with security updates from Microsoft, which can quickly pile up otherwise. That doesn’t mean you have to install them on Patch Tuesday. Indeed, waiting a day or three before updating is a sane response, given that sometimes updates go awry and usually within a few days Microsoft has fixed any issues with its patches. It’s also smart to back up your data and/or image your Windows drive before applying new updates.

For a more detailed breakdown of the individual flaws addressed by Microsoft today, check out the SANS Internet Storm Center’s list. For those admins responsible for maintaining larger Windows environments, it often pays to keep an eye on Askwoody.com, which frequently points out when specific Microsoft updates are creating problems for a number of users.

As ever, if you experience any problems applying any of these updates, consider dropping a note about it in the comments; chances are decent someone else reading here has experienced the same issue, and maybe even has a solution.

from Krebs on Security https://ift.tt/dw4Jo8c
via IFTTT

Firefox 128 mejora la seguridad, el CSS y su herramienta de traducción

Posted on by

Firefox 128

He de reconocer que la herramienta de traducción nativa de Vivaldi, el navegador web que más uso, no termina de gustarme. El problema no es su funcionamiento, sino la compañía que ofrece las traducciones. Y tampoco es que sea tan mala, es que si se compara con DeepL, que entiende el contexto y mucho más, se queda corta. Pero también tengo que reconocer que seleccionar texto y poder traducirlo al instante me gusta. Para el que prefiera el navegador de Mozilla, Firefox 128 llegará a lo largo del día de hoy con una función similar.

La opción aparecerá en el menú contextual que aparece al hacer clic secundario. Para verla sólo tenemos que seleccionar algo de texto previamente, y luego elegir la opción de traducir selección. Lo que veremos será algo como lo de la siguiente captura, una ventana flotante que detecta el idioma de origen, el idioma de destino y la traducción. Hay un botón para copiar el texto traducido y otro para traducir la página completa si así lo deseamos.

Traducir Selección

Otras novedades de Firefox 128

Entre el resto de novedades, Firefox 128 tiene ahora un diálogo más sencillo y unificado para borrar los datos del usuario, soporta la reproducción de contenido protegido de sitios de streaming como Netflix mientras se está en modo de Navegación Privada, es ahora compatible con la API experimental Privacy Preserving Attribution API, que ofrece una alternativa al seguimiento de usuarios para la atribución de anuncios. Este experimento sólo está habilitado a través de prueba de origen y puede desactivarse en la nueva sección Preferencias de publicidad en sitios web de la configuración de privacidad y seguridad.

Por otra parte, ahora permite mostrar más tipos de archivos text/* en línea, en lugar de tener que descargarlos para verlos, el certificado raíz utilizado para verificar los complementos y el contenido firmado se ha renovado para evitar su próxima caducidad,

Aún más, se ha añadido soporte para @property y la API de propiedades y valores CSS, se proporciona un nuevo método bytes() en muchos objetos como Request/Response y Blob que proporciona una forma conveniente de obtener una matriz de tipo Uint8Array y la especificidad de las reglas CSS se muestra ahora en un tooltip cuando se pasa el ratón sobre un selector de regla CSS en la vista Reglas del Inspector, lo que puede ayudar a los desarrolladores web a entender por qué una regla determinada se aplica antes que otra.

En macOS, la captura del micrófono a través de getUserMedia utilizará ahora el procesamiento de voz proporcionado por el sistema cuando proceda, lo que mejora la calidad del audio. En cuanto a idiomas, ahora también está disponible en saraiki (skr), y en el apartado de la seguridad ahora usa proxy DNS por defecto cuando se utiliza SOCKS v5, evitando la fuga de consultas DNS a la red cuando se utilizan proxies SOCKS v5.

Firefox 128 llegará a lo largo del día de hoy y pronto empezará a aparecer en los repositorios oficiales de la mayoría de distribuciones Linux. También se actualizarán los paquetes flatpak y snap.

from Linux Adictos https://ift.tt/JrqSgbo
via IFTTT