la temporada de vacaciones casi ha terminado, pero los parches de seguridad siguen llegando rápido y abundantemente en diciembre. El mes ha visto actualizaciones lanzadas por Apple, Google y Microsoft, así como compañías de software empresarial como SAP, Citrix y VMWare.
Muchos de los parches solucionan las vulnerabilidades de día cero que ya se están explotando en los ataques, por lo que es importante que se apliquen lo antes posible. Aquí está la verdad sobre todos los parches lanzados en diciembre.
Apple iOS y iPadOS 16.2, iOS 15.7.2, iOS 16.1.2
Apple lanzó una importante actualización de su sistema operativo iOS 16 en diciembre: iOS 16.2. La actualización viene con funciones que incluyen cifrado de extremo a extremo en iCloud, pero también corrige 35 vulnerabilidades de seguridad.
No se sabe que ninguno de los problemas parcheados en iOS 16.2 se haya utilizado en ataques; sin embargo, muchos son bastante serios. Las fallas incluyen seis en el Kernel y nueve en el motor que impulsa el navegador Safari de Apple, WebKit, que podría permitir que un atacante ejecute código.
Apple también lanzó iOS 15.7.2 para usuarios de iPhones más antiguos que no pueden ejecutar iOS 16, solucionando una falla que ya se usa en los ataques. Rastreada como CVE-2022-42856, la vulnerabilidad de WebKit podría permitir que un atacante ejecute código, según la página de soporte de Apple. A fines de noviembre, Apple corrigió la misma falla de WebKit en iOS 16.1.2.
Desde el lanzamiento de iOS 16 en septiembre, Apple ha estado ofreciendo actualizaciones de seguridad a quienes no desean actualizarse al nuevo sistema operativo. Pero iOS 15.7.2 es solo para iPhones más antiguos, por lo que si tiene un iPhone 8 o superior, ahora debe actualizar a iOS 16 para mantenerse seguro.
El fabricante de iPhone también lanzó macOS Ventura 13.1, watchOS 9.2, tvOS 16.2, macOS Big Sur 11.7.2, macOS Monterey 12.6.2 y Safari 16.2.
googleandroid
Diciembre fue un mes con muchos parches para el sistema operativo Android de Google, con correcciones para docenas de vulnerabilidades de seguridad emitidas durante el mes. Rastreado como CVE-2022-20411, el más grave es una vulnerabilidad crítica en el componente del sistema que podría conducir a la ejecución remota de código a través de Bluetooth sin necesidad de privilegios de ejecución adicionales, dijo Google en un boletín de seguridad.
Google también corrigió dos fallas críticas en el componente Android Framework, CVE-2022-20472 y CVE-2022-20473. Mientras tanto, Google corrigió 151 errores específicos de Pixel en diciembre.
El parche de diciembre está disponible para los dispositivos Pixel de Google, así como para los teléfonos inteligentes de Samsung, incluida la gama insignia Galaxy del fabricante de hardware.
Google cromo 108
Google ha publicado una actualización de emergencia para su navegador Chrome para corregir la novena vulnerabilidad de día cero del año. Rastreado como CVE-2022-4262, el problema de confusión de tipos de alta gravedad en el motor JavaScript V8 de Chrome podría permitir que un atacante remoto explote la corrupción del montón a través de una página HTML manipulada. “Google es consciente de que existe un exploit para CVE-2022-4262”, dijo el fabricante del navegador en un blog.
La actualización de emergencia llegó pocos días después de que Google lanzara Chrome 108, parcheando 28 fallas de seguridad. Entre las correcciones se encuentran CVE-2022-4174, una falla de confusión de tipo en V8, y varios errores de uso después de la liberación. Ninguna de estas vulnerabilidades ha sido explotada en ataques, según Google. Pero dado que el último error ya está en manos de los atacantes, es una buena idea actualizar Chrome lo antes posible.
Martes de parches de Microsoft
El martes de parches de diciembre de Microsoft fue otro importante, corrigió 49 vulnerabilidades de seguridad, incluida una falla que se usa en los ataques. Rastreado como CVE-2022-44698, el problema es una vulnerabilidad de omisión de la característica de seguridad de Windows SmartScreen que podría conducir a la pérdida de integridad y disponibilidad.
“Un atacante puede crear un archivo malicioso que evadiría las defensas de Mark of the Web (MOTW), lo que daría como resultado una pérdida limitada de integridad y disponibilidad de funciones de seguridad como Vista protegida en Microsoft Office, que se basan en el etiquetado MOTW”, dijo Microsoft.