Diciembre fue un mes agitado para las actualizaciones, ya que empresas como Apple y Google se apresuraron a implementar parches para corregir fallas graves en sus productos antes de las vacaciones.
Los gigantes del software empresarial también publicaron una buena cantidad de parches, y Atlassian y SAP solucionaron varios errores críticos durante diciembre.
Esto es lo que necesita saber sobre las actualizaciones importantes que quizás se haya perdido durante el mes.
Apple iOS
A mediados de diciembre, Apple lanzó iOS 17.2, una importante actualización que contiene funciones como la aplicación Journal, así como 12 parches de seguridad. Entre las fallas corregidas en iOS 17.2 se encuentra CVE-2023-42890, un problema en el motor del navegador WebKit que podría permitir a un atacante ejecutar código.
Otra falla en el kernel del iPhone, rastreada como CVE-2023-4291, podría hacer que una aplicación salga de su entorno de pruebas seguro, escribió Apple en su página de soporte. Mientras tanto, dos vulnerabilidades en ImageIO, CVE-2023-42898 y CVE-2023-42899, podrían provocar la ejecución de código.
La actualización de iOS 17.2 también implementó un mecanismo para prevenir un ataque de Bluetooth utilizando un dispositivo de prueba de penetración llamado Flipper Zero, según las pruebas de ZDNET y 9to5Mac. El molesto ciberataque por denegación de servicio podría provocar la aparición de una ráfaga de ventanas emergentes en un iPhone y, finalmente, bloquear el dispositivo.
Apple también lanzó iOS 16.7.3, Safari 17.2, macOS Sonoma 14.2, macOS Ventura 13.6.3, macOS Monterey 12.7.2, tvOS 17.2 y watchOS 10.2.
Solo una semana después del lanzamiento de iOS 17.2, Apple lanzó iOS 17.2.1 e iOS 16.7.4 para dispositivos más antiguos, junto con macOS Sonoma 14.2.1. La actualización sorpresa de iPhone contiene correcciones de seguridad y errores no especificados, mientras que el parche de macOS corrige una única falla identificada como CVE-2023-42940.
android
El Boletín de seguridad de Google Android de diciembre fue importante y solucionó casi 100 problemas de seguridad. La actualización incluye parches para dos problemas críticos en Framework, el más grave de los cuales podría provocar una escalada remota de privilegios sin necesidad de privilegios adicionales. La interacción del usuario no es necesaria para la explotación, dijo Google.
CVE-2023-40088 es una falla crítica en el sistema que podría conducir a la ejecución remota de código, mientras que CVE-2023-40078 es un error de elevación de privilegios calificado como de alto impacto.
Google también ha publicado una actualización para su plataforma WearOS de dispositivos inteligentes, solucionando CVE-2023-40094, una falla de elevación de privilegios. El boletín de seguridad de Pixel no se ha publicado al momento de escribir este artículo.
Google Chrome
Google puso fin a un excelente diciembre de actualizaciones con estilo con una solución de emergencia para su navegador Chrome. La octava vulnerabilidad de día cero que afectará a Chrome en 2024, CVE-2023-7024, es un problema de desbordamiento del búfer de montón en el componente WebRTC de código abierto. Google es «consciente de que existe un exploit para CVE-2023-7024», dijo el fabricante del navegador en un aviso.
No fue la primera solución publicada por Google en diciembre. El gigante del software también emitió un parche para Chrome a mediados de mes para solucionar nueve problemas de seguridad. De las fallas reportadas por investigadores externos, cinco están clasificadas como de alta gravedad, incluido CVE-2023-6702, una falla de confusión de tipos en V8 y cuatro errores de uso después de la liberación.