Actualizaciones de software de verano están llegando rápido, con Apple, Google y Microsoft emitiendo múltiples parches para fallas de seguridad graves en junio. Las firmas de software empresarial también han estado ocupadas, con correcciones lanzadas para agujeros aterradores en VMWare, Cisco, Fortinet y los productos MOVEit de Progress Software.
Una cantidad significativa de errores de seguridad eliminados durante el mes se están utilizando en ataques de la vida real, así que siga leyendo, tome nota y parchee sus sistemas afectados tan pronto como pueda.
Manzana
Pisándole los talones a iOS 16.5, junio vio el lanzamiento de una actualización de emergencia para iPhone, iOS 16.5.1. La última actualización de iPhone corrige las vulnerabilidades de seguridad en WebKit, el motor que respalda a Safari, y en el núcleo del sistema iOS.
Rastreados como CVE-2023-32439 y CVE-2023-32434, ambos problemas son errores de ejecución de código y se han utilizado en ataques de la vida real, dijo Apple en su página de soporte.
Si bien los detalles sobre las fallas ya explotadas son limitados, el equipo de seguridad Kaspersky reveló cómo se utilizó el problema del kernel para realizar ataques de «triangulación de iOS» contra su personal. Impactantes porque no requieren la interacción del usuario, los ataques de «clic cero» utilizan un iMessage invisible con un archivo adjunto malicioso para entregar software espía.
Apple también emitió iOS 15.7.7 para iPhones más antiguos que solucionan los problemas de Kernel y WebKit, así como una segunda falla de WebKit rastreada como CVE-2023-32435, que Kaspersky también informó como parte de los ataques de triangulación de iOS.
Mientras tanto, Apple lanzó Safari 16.5.1, macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, watchOS 9.5.2 y watchOS 8.8.1.
microsoft
El martes de parches de mediados de junio de Microsoft incluye actualizaciones de seguridad para 78 vulnerabilidades, incluidos 28 errores de ejecución remota de código (RCE). Si bien algunos de los problemas son graves, es el primer martes de parches desde marzo que no incluye fallas ya explotadas.
Los problemas críticos parcheados en la actualización de junio incluyen CVE-2023-29357, una vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server con una puntuación CVSS de 9,8. “Un atacante que haya obtenido acceso a tokens de autenticación JWT falsificados puede usarlos para ejecutar un ataque de red que elude la autenticación y les permite obtener acceso a los privilegios de un usuario autenticado”, dijo Microsoft.
“El atacante no necesita privilegios, ni el usuario necesita realizar ninguna acción”, agregó.
Mientras tanto, CVE-2023-32031 y CVE-2023-28310 son vulnerabilidades de ejecución remota de código de Microsoft Exchange Server que requieren que un atacante esté autenticado para explotar.
googleandroid
Es hora de actualizar su dispositivo Android de Google, ya que el gigante tecnológico ha publicado su Boletín de seguridad de junio. El problema más grave solucionado por Google es una vulnerabilidad de seguridad crítica en el componente del sistema, rastreada como CVE-2023-21108, que podría conducir a RCE a través de Bluetooth sin necesidad de privilegios de ejecución adicionales. Otra falla en el sistema rastreada como CVE-2023-21130 es un error RCE también marcado como crítico.
Una de las fallas reparadas en la actualización de junio es CVE-2022-22706, una vulnerabilidad en los componentes de Arm que el fabricante de chips corrigió en 2022 después de que ya se había utilizado en ataques.