Más tarde, en enero, Google lanzó Chrome 121 al canal estable, solucionando 17 problemas de seguridad, tres de los cuales se consideran de alto impacto. Estos incluyen CVE-2024-0807, una falla de uso después de la liberación en WebAudio, y CVE-2024-0812, una vulnerabilidad de implementación inapropiada en accesibilidad. La última vulnerabilidad de alto impacto es CVE-2024-0808, un desbordamiento de enteros en WebUI.
Obviamente, estas actualizaciones son importantes, así que verifíquelas y aplíquelas lo antes posible.
microsoft
El martes de parches de enero de Microsoft elimina casi 50 errores en su popular software, incluidos 12 fallos de ejecución remota de código (RCE).
No se sabe que se hayan utilizado en ataques ningún agujero de seguridad incluido en el conjunto de actualizaciones de este mes, pero las fallas notables incluyen CVE-2024-20677, un error en Microsoft Office que podría permitir a los atacantes crear documentos maliciosos con archivos de modelo 3D FBX integrados para ejecutar. código.
Para mitigar esta vulnerabilidad, se deshabilitó la capacidad de insertar archivos FBX en Word, Excel, PowerPoint y Outlook para Windows y Mac. Las versiones de Office que tenían esta característica habilitada ya no tendrán acceso a ella, dijo Microsoft.
Mientras tanto, CVE-2024-20674 es una característica de seguridad de Windows Kerberos que evita la vulnerabilidad clasificada como crítica con una puntuación CVSS de 8,8. En un escenario para esta vulnerabilidad, el atacante podría convencer a una víctima para que se conecte a una aplicación maliciosa controlada por el atacante, dijo Microsoft. «Al conectarse, el servidor malicioso podría comprometer el protocolo», añadió el gigante del software.
Mozilla Firefox
Pisándole los talones a Chrome, su competidor dominante en el mercado, Firefox de Mozilla ha solucionado 15 fallos de seguridad en su última actualización. Cinco de los errores están clasificados como de alta gravedad, incluido CVE-2024-0741, un problema de escritura fuera de límites en Angle que podría permitir que un atacante corrompa la memoria, lo que provocaría un bloqueo explotable.
Un valor de retorno no verificado en el código de protocolo de enlace TLS rastreado como CVE-2024-0743 también podría provocar un bloqueo explotable.
CVE-2024-0755 cubre errores de seguridad de la memoria corregidos en Firefox 122, Firefox ESR 115.7 y Thunderbird 115.7. «Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario», dijo Mozilla.
cisco
El gigante del software empresarial Cisco ha solucionado una vulnerabilidad en múltiples productos de soluciones de centros de contacto y comunicaciones unificadas de Cisco que podrían permitir que un atacante remoto no autenticado ejecute código arbitrario en un dispositivo afectado.
Registrada como CVE-2024-20253 y con una enorme puntuación CVSS de 9,9, Cisco dijo que un atacante podría explotar la vulnerabilidad enviando un mensaje diseñado a un puerto de escucha de un dispositivo afectado.
«Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web», dijo Cisco. «Con acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado», advirtió.
SAVIA
SAP ha publicado 10 nuevas correcciones de seguridad como parte de su Día del parche de seguridad de enero, que incluye varios problemas con una puntuación CVSS de 9,1. CVE-2023-49583 es un problema de escalada de privilegios en aplicaciones desarrolladas a través de SAP Business Application Studio, SAP Web IDE Full-Stack y SAP Web IDE para SAP HANA.
Mientras tanto, CVE-2023-50422 y CVE-2023-49583 son problemas de escalada de privilegios en SAP Edge Integration Cell.
Otra falla notable es CVE-2024-21737, una vulnerabilidad de inyección de código en SAP Application Interface Framework, que tiene una puntuación CVSS de 8,4. «Un módulo funcional vulnerable de la aplicación permite a un atacante atravesar varias capas y ejecutar comandos del sistema operativo directamente», dijo la firma de seguridad Onapsis. «Los exploits exitosos pueden causar un impacto considerable en la confidencialidad, integridad y disponibilidad de la aplicación».