Inilabas ng Microsoft ang isang serye ng mga kahinaan sa pagkasira ng memorya sa ncurses programming library, na kadalasang ginagamit sa mga Linux at macOS system. Ang mga kapintasan, kung pagsasamantalahan, ay maaaring magpapahintulot sa mga aktor ng pagbabanta na magsagawa ng malisyosong code sa mga madaling kapitan ng system. Itinampok ng mga mananaliksik ng Threat Intelligence na sa pamamagitan ng pagmamanipula sa mga variable ng kapaligiran, maaaring gamitin ng mga umaatake ang mga kahinaan na ito upang palakihin ang mga pribilehiyo at isagawa ang code sa konteksto ng naka-target na programa.
Mga Teknikal na Insight at Implikasyon
Ang mga kahinaan, opisyal na nilagyan ng label bilang CVE-2023-29491 na may marka ng CVSS na 7.8, ay naayos noong Abril 2023. Nakipagtulungan ang Microsoft sa Apple upang tugunan ang mga isyung partikular sa macOS na nauugnay sa mga kahinaang ito. Ang mga bahid na natuklasan ay sumasaklaw sa iba’t ibang isyu, kabilang ang isang stack information leak, isang parameterized string type na kalituhan, at isang heap out-of-bounds sa panahon ng terminfo database file parsing. Binigyang-diin ng mga mananaliksik na ang pagsasamantala sa mga kahinaang ito ay mangangailangan ng isang multi-stage na diskarte sa pag-atake.
Mga Collaborative na Pagsisikap at Remediation
Naging maagap ang Microsoft sa pagbabahagi ng mga kahinaang ito sa mga nauugnay na stakeholder sa pamamagitan ng Coordinated Vulnerability Disclosure (CVD) at Microsoft Security Vulnerability Research (MSVR). Ang mga kahinaan ay agad na natugunan ng mga tagapangasiwa ng ncurses library. Kinikilala din ng Microsoft ang mga kontribusyon ng mananaliksik na si Gergely Kalman, na nagbigay ng mahahalagang kaso ng paggamit na tumulong sa pananaliksik. Hinihimok ang mga user ng ncurses library na i-update ang kanilang mga system para mapangalagaan laban sa potensyal na pagsasamantala.
Mga Kamakailang Pag-aayos ng Patch Tuesday
Inilunsad ang September 2023 Patch Tuesday ng Microsoft ngayong linggo, na tumutugon sa kabuuang 59 na kahinaan, dalawa sa mga ito ay zero-day flaws kasalukuyang nasa ilalim ng aktibong pagsasamantala. Tulad ng lahat ng buwan, ang Patch Tuesday ay tungkol sa pag-iingat ng mga serbisyo ng Microsoft mula sa mga isyu sa seguridad at mga bug. Ang dalawang zero-day na kahinaan na aktibong pinagsamantalahan ay:
CVE-2023-36802 – Microsoft Streaming Service Proxy Pagtaas ng Privilege Vulnerability. Ang kapintasan na ito ay nagbibigay-daan sa mga umaatake na samantalahin ang kahinaan upang makakuha ng mga pribilehiyo ng system. CVE-2023-36761 – Kahinaan sa Pagbubunyag ng Impormasyon ng Microsoft Word. Ang kahinaang ito ay maaaring samantalahin ng mga umaatake upang ibunyag ang mga hash ng NTLM.
