Mientras tanto, los investigadores del Proyecto Cero de Google han informado de 18 vulnerabilidades de día cero en los módems Exynos fabricados por Samsung. Los cuatro más graves (CVE-2023-24033, CVE-2023-26496, CVE-2023-26497 y CVE-2023-26498) permiten la ejecución remota de código de Internet a banda base, escribieron los investigadores en un blog. “Las pruebas realizadas por Project Zero confirman que las cuatro vulnerabilidades permiten a un atacante comprometer de forma remota un teléfono a nivel de banda base sin interacción del usuario, y solo requieren que el atacante sepa el número de teléfono de la víctima”, escribieron.
Los dispositivos afectados incluyen los de las series S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 y A04, así como las series Pixel 6 y Pixel 7 de Google.
Los plazos de los parches variarán según el fabricante, pero los dispositivos Pixel afectados recibieron una solución para las cuatro vulnerabilidades graves de ejecución remota de código de Internet a banda base. Mientras tanto, los usuarios con dispositivos afectados pueden protegerse apagando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) en la configuración de sus dispositivos, dijo Google.
Google Chrome
Google ha lanzado Chrome 111 de su popular navegador, corrigiendo ocho fallas de seguridad, siete de las cuales son errores de seguridad de memoria con una calificación de alta gravedad. Cuatro vulnerabilidades de uso posterior a la liberación incluyen un problema de alta gravedad rastreado como CVE-2023-1528 en Contraseñas y CVE-2023-1529, una falla de acceso a la memoria fuera de los límites en WebHID.
Mientras tanto, CVE-2023-1530 es un error de uso después de liberación en PDF informado por el Centro Nacional de Seguridad Cibernética del Reino Unido, y CVE-2023-1531 es una vulnerabilidad de uso después de liberación de alta gravedad en ANGLE.
Google no sabe que ninguno de los problemas se haya utilizado en ataques, pero dado su impacto, tiene sentido actualizar Chrome cuando pueda.
cisco
El gigante de software empresarial Cisco ha publicado el paquete de seguridad semestral para su software IOS e IOS XE, solucionando 10 vulnerabilidades. Seis de los problemas solucionados por Cisco tienen un alto impacto, incluido CVE-2023-20080, una falla de denegación de servicio, y CVE-2023-20065, un error de escalada de privilegios.
A principios de mes, Cisco solucionó varias vulnerabilidades en la interfaz de administración basada en la web de algunos teléfonos IP de Cisco que podrían permitir que un atacante remoto no autenticado ejecute código arbitrario o provoque la denegación de servicio. Con una puntuación CVSS de 9,8, la peor es CVE-2023-20078, una vulnerabilidad en la interfaz de administración basada en web de los teléfonos multiplataforma de las series Cisco IP Phone 6800, 7800 y 8800.
Un atacante podría explotar esta vulnerabilidad enviando una solicitud diseñada a la interfaz de administración basada en la web, dijo Cisco, y agregó: «Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado».
Firefox
Mozilla, un desarrollador consciente de la privacidad, lanzó Firefox 111 y solucionó 13 vulnerabilidades, siete de las cuales se calificaron como de alto impacto. Estos incluyen tres fallas en Firefox para Android, incluido CVE-2023-25749, que puede haber resultado en la apertura de aplicaciones de terceros sin un aviso.
Mientras tanto, se corrigieron dos errores de seguridad de memoria, CVE-2023-28176 y CVE-2023-28177, en Firefox 111. “Algunos de estos errores mostraron evidencia de corrupción de memoria, y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotado para ejecutar código arbitrario”, dijo Mozilla.
SAVIA
Es otro mes de grandes actualizaciones para el fabricante de software SAP, que ha publicado 19 nuevas notas de seguridad en su guía del Día del Parche de Seguridad de marzo. Los problemas solucionados durante el mes incluyen cuatro con una puntuación CVSS de más de 9.
Uno de los peores es CVE-2023-25616, una vulnerabilidad de inyección de código en SAP Business Objects Business Intelligence Platform. Esta vulnerabilidad en la Consola de administración central permite que un atacante inyecte código arbitrario con un “fuerte impacto negativo” en la integridad, confidencialidad y disponibilidad del sistema, dijo la firma de seguridad Onapsis.
Finalmente, con un puntaje CVSS de 9.9, CVE-2023-23857 es un error de control de acceso inadecuado en SAP NetWeaver AS para Java. “La vulnerabilidad permite que un atacante no autenticado se conecte a una interfaz abierta y haga uso de una API abierta de nombres y directorios para acceder a los servicios”, dijo Onapsis.