agosto ha terminado el verano con estilo con múltiples parches emitidos por Microsoft, Google Chrome y su competidor Firefox para solucionar problemas graves, algunos de los cuales se están utilizando en ataques.
Si bien no había ninguna actualización de Apple iPhone en el momento de escribir este artículo, durante el mes se lanzaron algunas correcciones empresariales importantes. Estos incluyen parches para fallas explotadas en productos Ivanti, así como correcciones para vulnerabilidades en el software de SAP y Cisco.
Continúe leyendo para conocer todo lo que necesita saber sobre los parches publicados en agosto.
microsoft
El martes de parche de agosto de Microsoft vio al gigante del software corregir docenas de vulnerabilidades, incluidas dos que ya se utilizan en ataques del mundo real. La primera es una actualización de Defensa en profundidad a CVE-2023-36884, una falla de ejecución remota de código (RCE) en la búsqueda de Windows que podría permitir a los atacantes eludir la función de seguridad Marca de la Web de Microsoft. Si le suena familiar, es porque Microsoft ya solucionó la vulnerabilidad en julio. Pero la instalación de la última actualización «detiene la cadena de ataques» que conduce al problema, dijo Microsoft.
La segunda falla, CVE-2023-38180, es un problema en .NET y Visual Studio que podría permitir que un adversario realice una denegación de servicio.
Seis de los problemas solucionados en el martes de parches de agosto se consideran críticos, incluido CVE-2023-36895, una falla RCE en el cliente de correo electrónico Outlook. Mientras tanto, CVE-2023-35385, CVE-2023-36910 y CVE-2023-36911 son problemas de RCE en el servicio Microsoft Message Queue Server, según la Guía de actualización de seguridad.
Los problemas críticos quinto y sexto solucionados por Microsoft en agosto son CVE-2023-29328 y CVE-2023-29330, los cuales son fallas RCE en Teams.
Google Chrome
Agosto comenzó con una serie de actualizaciones para Chrome 115, incluidas nueve consideradas de alto impacto. Los 17 parches incluyen tres fallas de confusión de tipos en V8: CVE-2023-4068, CVE-2023-4069 y CVE-2023-4070. Y CVE-2023-4071 es un problema de desbordamiento del búfer de montón en Visuals y CVE-2023-4076 es una falla de uso después de la liberación en WebRTC.
Un par de semanas después, Google publicó Chrome 116 para parchear 26 vulnerabilidades, ocho de las cuales están clasificadas como de alto impacto. Los problemas más graves incluyen CVE-2023-2312, un error de uso después de la liberación sin conexión, y CVE-2023-4349, un error de uso después de la liberación en Device Trust Connectors. Un tercero, CVE-2023-4350, es un error de implementación inapropiado en pantalla completa.
Luego, el 23 de agosto, Google lanzó la primera de sus actualizaciones de seguridad semanales más periódicas, reparando cinco fallas. Las cuatro vulnerabilidades clasificadas como de alto impacto incluyen dos errores de uso después de la liberación y dos problemas de acceso a la memoria fuera de los límites.
Firefox
Firefox, el competidor de Google Chrome centrado en la privacidad, también tuvo un agosto agitado, solucionando más de una docena de vulnerabilidades en Firefox 116. Los problemas solucionados por Mozilla, propietario de Firefox, incluyen CVE-2023-4045, un problema en Offscreen Canvas calificado como alto, y CVE-2023. -4047, un error en el cálculo del retraso de las notificaciones emergentes que podría permitir a un atacante engañar a un usuario para que conceda permisos.
La actualización también corrige errores de seguridad de la memoria rastreados como CVE-2023-4056, CVE-2023-4057 y CVE-2023-4058. Los fallos solucionados en la última actualización «mostraron evidencia de corrupción de memoria», dijo Mozilla. «Suponemos que con suficiente esfuerzo, algunos de estos podrían haberse aprovechado para ejecutar código arbitrario».
android
Google ha publicado 40 actualizaciones para su sistema operativo Android, incluidos parches para fallas graves en el marco, el sistema y el kernel. Registrado como CVE-2023-21273, el error más grave corregido en agosto es una vulnerabilidad de seguridad crítica en el componente del sistema que podría provocar RCE sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación, dijo Google en su Boletín de seguridad de Android.
Mientras tanto, CVE-2023-21282 es una falla de RCE en Media Framework que también se considera que tiene un impacto crítico. Otro problema crítico en el Kernel, identificado como CVE-2023-21264, podría provocar una escalada de privilegios local, aunque se necesitan privilegios de ejecución del sistema.