Em 12 de janeiro, a Microsoft lançará novas atualizações para o Windows 10
Além de pacotes cumulativos para os sistemas operacionais Windows 10, Windows 7 e Windows 8.1, a Microsoft lançará atualizações para servidores Office, Microsoft 365 e Sharepoint
Patch Tuesday: 12 de janeiro, a Microsoft lançará novas atualizações para o Windows 10
Uma mudança no foco em relação à segurança é o que podemos esperar na primeira terça-feira do Patch 2021. 2020 foi como nenhum outro, mas 2021 também parece único.
O ano começou continuando a investigar as causas do hack do software SolarWinds Orion. Muitas previsões apontavam para a probabilidade de outro grande ataque cibernético em 2021, mas ninguém poderia ter previsto esse tipo de ataque e seu impacto na indústria. Este ataque chamou a atenção para questões de segurança e desenvolvimento de software.
O ataque foi realizado usando um Trojan de acesso remoto incorporado na solução de software SolarWinds Orion. Esse tipo de ataque é comumente conhecido como ataque à cadeia de suprimentos porque o malware é adicionado e compilado em um produto confiável de uma empresa confiável. Depois que o software comprometido foi instalado em um terminal, o cavalo de Tróia enviou uma mensagem para a rede remota e, em seguida, o acesso ao terminal foi organizado. Um invasor pode ler e modificar remotamente arquivos em um sistema comprometido sem medo de ser detectado. Este cenário difere de um ataque típico em que um hacker tenta induzir a vítima a instalar malware usando phishing e engenharia social.
Os cibercriminosos envolvidos no ataque SolarWinds tinham conectividade garantida a todos os sistemas controlados pelo produto, enquanto os ataques de phishing obtêm acesso ao sistema aleatório da vítima que instalou o malware. Conforme mencionado anteriormente, o ataque SolarWinds foi efetivamente oculto como parte de um produto confiável e conhecido, enquanto os ataques de phishing podem ser detectados por uma variedade de métodos, incluindo programas antivírus.
Uma investigação sobre o incidente determinou que o malware foi adicionado ao produto SolarWinds em março de 2020 e foi incluído em todas as atualizações do produto desde então. Conforme os clientes atualizavam seus sistemas com versões mais recentes do SolarWinds Orion, eles permaneciam vulneráveis a acesso remoto e comprometimento. Sem surpresa, perguntas e discussões interessantes surgiram posteriormente em fóruns de segurança especializados.
O incidente da SolarWinds questiona as práticas gerais de segurança de desenvolvimento de software do setor, incluindo procedimentos como correção de máquinas de desenvolvimento, terceirização de desenvolvimento de código, monitoramento e compreensão da funcionalidade do código em meio a fusões e rotatividade, revisões de código e muito mais. métodos para identificar problemas de segurança.
As ramificações do compromisso da SolarWinds estão forçando muitas empresas a repensar e reorientar seu foco na segurança e nos aspectos legais do processo de desenvolvimento de software.
Uma mudança no foco em relação à segurança é o que podemos esperar para a primeira Patch Tuesday de 2021. Em 2020, vimos um número recorde de vulnerabilidades corrigidas e parece que essa tendência continuará este ano, pois as empresas se concentrarão em melhorar a segurança de seus produtos.
A Microsoft geralmente lança menos lançamentos em janeiro, então você deve esperar um pequeno número de atualizações e correções de bugs. Além dos pacotes para os sistemas operacionais Windows 10, Windows 7 e Windows 8.1, serão lançadas atualizações para servidores Office, Microsoft 365 e Sharepoint. Certifique-se também de procurar as atualizações mais recentes do Service Stack (SSU) - há várias novas atualizações todos os meses. Como um lembrete, para o Windows 10, versão 2004 e mais recente, as atualizações da pilha de serviço estão incluídas nas atualizações cumulativas.
Patch Tuesday of January 12, 2021 completa o primeiro ano de Extended Security Updates (ESU) para Windows 7 e Windows Server 2008. A Microsoft disse que fornecerá pelo menos mais dois anos de suporte pago.
A Adobe não forneceu informações preliminares sobre os lançamentos, mas na "terça-feira do patch" de dezembro a empresa lançou atualizações para o Acrobat e o Reader, e outra rodada de atualizações pode ser esperada em janeiro. Lembre-se de que o ciclo de vida do Adobe Flash Player terminou. Desinstale versões mais antigas do produto. Você pode usar o Flash Games Preservation Project, Internet Archive ou a extensão Ruffle para acessar o conteúdo Flash.
A Apple lançou atualizações de segurança para o macOS Big Sur 11 pouco antes do feriado em 14 de dezembro. Atualizações de segurança para iCloud e iTunes para Windows são esperadas desta vez.
O Google Chrome foi atualizado para a versão 87.0.4280.141, que corrige 16 bugs de segurança, 15 dos quais receberam uma classificação de alta gravidade. É improvável que novos patches sejam lançados esta semana.