Es hora de comprobar las actualizaciones de su software. En marzo se lanzaron parches importantes para iOS de Apple, Chrome de Google y su competidor Firefox, preocupado por la privacidad. Los gigantes del software empresarial, incluidos Cisco, VMware y SAP, también han solucionado errores.
Esto es lo que necesita saber sobre las actualizaciones de seguridad publicadas en marzo.
Apple iOS
Apple compensó un febrero tranquilo publicando dos parches separados en marzo. A principios de mes, el fabricante de iPhone lanzó iOS 17.4, solucionando más de 40 fallas, incluidos dos problemas que ya se utilizan en ataques de la vida real.
Registrado como CVE-2024-23225, el primer error en el kernel del iPhone podría permitir a un atacante eludir las protecciones de la memoria. «Apple está al tanto de un informe que indica que este problema puede haber sido aprovechado», dijo el fabricante del iPhone en su página de soporte.
Registrada como CVE-2024-23296, la segunda falla en RTKit, el sistema operativo en tiempo real utilizado en dispositivos como los AirPods, también podría permitir a un adversario eludir las protecciones de la memoria del Kernel.
Más tarde, en marzo, Apple lanzó una segunda actualización de software, iOS 17.4.1, esta vez solucionando dos fallas en el software de su iPhone, ambas rastreadas como CVE-2024-1580. Utilizando los problemas solucionados en iOS 17.4.1, un atacante podría ejecutar código si convenciera a alguien para que interactuara con una imagen.
Poco después de lanzar iOS 17.4.1, Apple lanzó parches para sus otros dispositivos para corregir los mismos errores: Safari 17.4.1, macOS Sonoma 14.4.1 y macOS Ventura 13.6.6.
Google Chrome
Marzo fue otro mes agitado para Google, que corrigió múltiples fallas en su navegador Chrome. A mediados de mes, Google lanzó 12 parches, incluida una solución para CVE-2024-2625, un problema del ciclo de vida de los objetos en V8 con una clasificación de gravedad alta.
Los problemas de gravedad media incluyen CVE-2024-2626, un error de lectura fuera de límites en Swiftshader; CVE-2024-2627, una falla de uso después de la liberación en Canvas; y CVE-2024-2628, un problema de implementación inapropiada en Descargas.
A finales de mes, Google emitió siete correcciones de seguridad, incluido un parche para una falla crítica de uso después de la liberación en ANGLE rastreada como CVE-2024-2883. Otros dos errores de uso después de la liberación, identificados como CVE-2024-2885 y CVE-2024-2886, recibieron una calificación de alta gravedad. Mientras tanto, CVE-2024-2887 es una falla de confusión de tipos en WebAssembly.
Los dos últimos problemas se explotaron en el concurso de piratería Pwn2Own 2024, por lo que debes actualizar tu navegador Chrome lo antes posible.
Mozilla Firefox
Firefox de Mozilla tuvo un mes de marzo muy ocupado, después de parchear dos vulnerabilidades de día cero explotadas en Pwn2Own. CVE-2024-29943 es un problema de omisión de acceso fuera de límites, mientras que CVE-2024-29944 es una falla de ejecución privilegiada de JavaScript en los controladores de eventos que podría provocar un escape de la zona de pruebas. Se considera que ambas cuestiones tienen un impacto crítico.
A principios de mes, Mozilla lanzó Firefox 124 para abordar 12 problemas de seguridad, incluido CVE-2024-2605, una falla de escape de espacio aislado que afecta a los sistemas operativos Windows. Un atacante podría haber aprovechado el Informe de errores de Windows para ejecutar código arbitrario en el sistema, escapando del entorno limitado, dijo Mozilla.
CVE-2024-2615 detecta errores de seguridad de memoria clasificados como críticos corregidos en Firefox 124. “Algunos de estos errores mostraron evidencia de corrupción de memoria, y suponemos que con suficiente esfuerzo [they] podría haber sido explotado para ejecutar código arbitrario”, dijo Mozilla.
android
Google publicó su Boletín de seguridad de Android de marzo, solucionando casi 40 problemas en su sistema operativo móvil, incluidos dos errores críticos en su componente del sistema. CVE-2024-0039 es una falla de ejecución remota de código, mientras que CVE-2024-23717 es una vulnerabilidad de elevación de privilegios.
«El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales», dijo Google en su aviso.