Los gigantes tecnológicos Apple, Microsoft y Google corrigieron importantes fallas de seguridad en abril, muchas de las cuales ya se estaban utilizando en ataques de la vida real. Otras empresas que publicarán parches incluyen el navegador centrado en la privacidad Firefox y los proveedores de software empresarial SolarWinds y Oracle.
Aquí encontrará todo lo que necesita saber sobre los parches lanzados en abril.
Manzana
Pisándole los talones a iOS 16.4, Apple lanzó la actualización de iOS 16.4.1 para corregir dos vulnerabilidades que ya se utilizan en los ataques. CVE-2023-28206 es un problema en IOSurfaceAccelerator que podría ver una aplicación capaz de ejecutar código con privilegios de kernel, dijo Apple en su página de soporte.
CVE-2023-28205 es un problema en WebKit, el motor que impulsa el navegador Safari, que podría conducir a la ejecución de código arbitrario. En ambos casos, el fabricante de iPhone dice: «Apple está al tanto de un informe de que este problema puede haber sido explotado activamente».
El error significa que visitar un sitio web con trampa explosiva podría dar a los ciberdelincuentes control sobre su navegador, o cualquier aplicación que use WebKit para representar y mostrar contenido HTML, dice Paul Ducklin, investigador de seguridad de la firma de seguridad cibernética Sophos.
Las dos fallas reparadas en iOS 16.4.1 fueron reportadas por el Grupo de Análisis de Amenazas de Google y el Laboratorio de Seguridad de Amnistía Internacional. Teniendo esto en cuenta, Ducklin cree que los agujeros de seguridad podrían haberse utilizado para implantar spyware.
Apple también lanzó iOS 15.7.5 para usuarios de iPhones más antiguos para corregir las mismas fallas ya explotadas. Mientras tanto, el fabricante de iPhone lanzó macOS Ventura 13.3.1, Safari 16.4.1, macOS Monterey 12.6.5 y macOS Big Sur 11.7.6.
microsoft
Apple no fue la única gran empresa tecnológica que emitió parches de emergencia en abril. Microsoft también lanzó una solución urgente como parte de la actualización Patch Tuesday de este mes. CVE-2023-28252 es un error de elevación de privilegios en el controlador del sistema de archivos de registro común de Windows. Un atacante que explotara con éxito la falla podría obtener privilegios del sistema, dijo Microsoft en un aviso.
Otro defecto notable, CVE-2023-21554, es una vulnerabilidad de ejecución remota de código en Microsoft Message Queuing etiquetada como de impacto crítico. Para explotar la vulnerabilidad, un atacante necesitaría enviar un paquete MSMQ malicioso a un servidor MSMQ, dijo Microsoft, lo que podría resultar en la ejecución remota de código en el lado del servidor.
La solución fue parte de una serie de parches para 98 vulnerabilidades, por lo que vale la pena consultar el aviso y actualizarlo lo antes posible.
googleandroid
Google ha publicado múltiples parches para su sistema operativo Android, arreglando varios agujeros serios. El error más grave es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales, dijo Google en su Boletín de seguridad de Android. La interacción del usuario no es necesaria para la explotación.
Los problemas parcheados incluyen 10 en el marco, incluidas ocho fallas de elevación de privilegios, y otras nueve calificadas como de alta gravedad. Google corrigió 16 errores en el sistema, incluidos dos defectos críticos de RCE y varios problemas en los componentes del kernel y SoC.
La actualización también incluye varios parches específicos de Pixel, incluida una falla de elevación de privilegios en el kernel rastreada como CVE-2023-0266. El parche de abril de Android está disponible para los dispositivos de Google, así como para modelos que incluyen la serie Galaxy S de Samsung junto con las series Fold y Flip.
Google Chrome
A principios de abril, Google emitió un parche para solucionar 16 problemas en su popular navegador Chrome, algunos de los cuales son graves. Las fallas reparadas incluyen CVE-2023-1810, un problema de desbordamiento del búfer de montón en Visuals calificado como de alto impacto, y CVE-2023-1811, una vulnerabilidad de uso después de liberar en Frames. Los 14 errores de seguridad restantes se clasifican como de impacto medio o bajo.
A mediados de mes, Google se vio obligado a publicar una actualización de emergencia, esta vez para corregir dos fallas, una de las cuales ya se está utilizando en ataques de la vida real. CVE-2023-2033 es un tipo de falla de confusión en el motor JavaScript V8. “Google es consciente de que existe un exploit para CVE-2023-2033”, dijo el gigante del software en su blog.
Solo unos días después, Google lanzó otro parche, solucionando problemas que incluyen otra falla de día cero rastreada como CVE-2023-2136, un error de desbordamiento de enteros en el motor de gráficos de Skia.