Noviembre vio la lanzamiento de parches de iOS de Apple, Google Chrome, Firefox y Microsoft Windows para corregir múltiples vulnerabilidades de seguridad. Algunos de estos problemas son bastante graves y varios ya han sido explotados por atacantes.
Esto es lo que necesita saber sobre todas las actualizaciones importantes lanzadas el mes pasado.
Apple iOS y iPadOS 16.1.1
Apple ha lanzado iOS y iPadOS 16.1.1, que el fabricante de iPhone recomienda que apliquen todos los usuarios. El parche corrige dos vulnerabilidades de seguridad y, dada la velocidad del lanzamiento, puede suponer que son bastante graves.
Rastreadas como CVE-2022-40303 y CVE-2022-40304, las dos fallas en la biblioteca de software libxml2 podrían permitir que un atacante ejecute código de forma remota, según la página de soporte de Apple. Ambos problemas fueron informados por investigadores de seguridad que trabajan para Project Zero de Google.
Para los usuarios de Mac, macOS Ventura 13.0.1 solucionó las fallas.
La buena noticia es que se cree que los atacantes no han aprovechado ninguna de las vulnerabilidades, pero sigue siendo una buena idea aplicar la actualización lo antes posible.
Microsoft Windows
El martes de parches de noviembre de Microsoft fue otro gran lanzamiento, ya que el fabricante de Windows corrigió 68 vulnerabilidades, cuatro de las cuales eran de día cero.
Rastreado como CVE-2022-41073, el primero es una vulnerabilidad de elevación de privilegios del administrador de trabajos de impresión de Windows que podría permitir que un ciberdelincuente obtenga privilegios del sistema. Mientras tanto, CVE-2022-41125 es un problema de aislamiento de clave de Windows Cryptographic Next Generation que podría permitir que un adversario aumente los privilegios y obtenga el control del sistema. CVE-2022-41128 es una vulnerabilidad del lenguaje de secuencias de comandos de Windows que podría provocar la ejecución remota de código. Por último, CVE-2022-41091 es una vulnerabilidad en la función de seguridad Mark of the Web de Microsoft.
googleandroid
Más actualizaciones importantes para los usuarios de los dispositivos Android de Google llegaron en noviembre, y Google emitió parches para múltiples vulnerabilidades, algunas de las cuales son graves. En la parte superior de la lista se encuentra una vulnerabilidad de alta gravedad en el componente Framework que podría conducir a una escalada local de privilegios, dijo Google en un aviso de seguridad.
Los parches de noviembre incluyen dos actualizaciones del sistema Google Play para problemas que afectan a los componentes de Media Framework (CVE-2022-2209) y Wi-Fi (CVE-2022-20463). Google también solucionó cinco problemas que afectaban a sus dispositivos Pixel.
Las actualizaciones de Android han comenzado a implementarse en los dispositivos Samsung, incluidos los dispositivos plegables Galaxy de tercera y cuarta generación. Puede verificar la actualización en su Configuración.
Google Chrome
El navegador más popular del mundo continúa siendo un objetivo importante para los atacantes, y Google corrigió este mes su octava vulnerabilidad de día cero este año.
La vulnerabilidad, rastreada como CVE-2022-4135, es un desbordamiento del búfer de pila en la GPU informado por Clement Lecigne, investigador del propio grupo de análisis de amenazas de Google. Google dijo que «es consciente de que existe un exploit para CVE-2022-4135 en la naturaleza».
A principios de mes, Google publicó una actualización para corregir 10 vulnerabilidades de Chrome, seis de las cuales están clasificadas como de gravedad alta. Estos incluyen cuatro errores de uso después de liberar: CVE-2022-3885, CVE-2022-3886, CVE-2022-3887 y CVE-2022-3888. Mientras tanto, CVE-2022-3889 es un problema de «confusión de tipos» en V8, y CVE-2022-3890 es un desbordamiento de búfer de pila en Crashpad.
Mozilla Firefox
Noviembre también fue un gran mes para el competidor de Google Chrome, Firefox. Mozilla ha lanzado Firefox 107, corrigiendo 19 vulnerabilidades de seguridad, ocho de las cuales están marcadas como de alto impacto.
Uno de los parches más importantes es para CVE-2022-45404, una omisión de notificación de pantalla completa que podría permitir a un atacante hacer que una ventana pase a pantalla completa sin que el usuario vea el mensaje de notificación. Esto podría resultar en ataques de suplantación de identidad. Mientras tanto, varios errores de uso posterior a la liberación podrían conducir a un bloqueo explotable, y una falla podría explotarse para ejecutar código arbitrario.
VMWare
El fabricante de software VMWare ha publicado correcciones de seguridad para múltiples vulnerabilidades de seguridad en su VMware Workspace ONE Assist, tres de las cuales tienen una puntuación base CVSSv3 de 9,8. El primero, CVE-2022-31685, es una vulnerabilidad de omisión de autenticación. “Un actor malintencionado con acceso de red a Workspace ONE Assist puede obtener acceso administrativo sin necesidad de autenticarse en la aplicación”, advirtió VMWare en un aviso.
Una vulnerabilidad de método de autenticación roto rastreada como CVE-2022-31686 podría permitir que un actor malintencionado con acceso a la red obtenga acceso de administrador sin necesidad de autenticarse.