febrero ha sido un gran mes para las actualizaciones de seguridad, con Apple, Microsoft y Google lanzando parches para corregir vulnerabilidades graves. Mientras tanto, una serie de errores empresariales han sido eliminados por empresas que incluyen a VMware, SAP y Citrix.
Las fallas reparadas durante el mes incluyen varias que se estaban utilizando en ataques de la vida real, por lo que vale la pena verificar que su software esté actualizado.
Aquí encontrará todo lo que necesita saber sobre las actualizaciones de seguridad lanzadas este mes.
Apple iOS y iPadOS 16.3.1
Apenas unas semanas después del lanzamiento de iOS 16.3, Apple lanzó iOS y iPadOS 16.3.1, un parche de emergencia para corregir vulnerabilidades que incluían una falla en el motor del navegador WebKit que ya se estaba utilizando en los ataques.
Rastreado como CVE-2023-23529, el error ya explotado podría conducir a la ejecución de código arbitrario, advirtió Apple en su página de soporte. “Apple está al tanto de un informe de que este problema puede haber sido explotado activamente”, agregó la firma. Otra falla reparada en iOS 16.3.1 está en el Kernel en el corazón del sistema operativo del iPhone. El error, que se rastrea como CVE-2023-23514, podría permitir que un atacante ejecute código arbitrario con privilegios de Kernel.
Más adelante en el mes, Apple documentó otra vulnerabilidad corregida en iOS 16.3.1, CVE-2023-23524. Reportado por David Benjamínun ingeniero de software de Google, la falla podría permitir un ataque de denegación de servicio a través de un certificado creado con fines malintencionados.
Apple también lanzó macOS Ventura 13.2.1, tvOS 16.3.2 y watchOS 9.3.1 durante el mes.
microsoft
A mediados de febrero, Microsoft advirtió que su Patch Tuesday ha solucionado 76 vulnerabilidades de seguridad, tres de las cuales ya están siendo utilizadas en ataques. Siete de las fallas están marcadas como críticas, según la guía de actualización de Microsoft.
Rastreado como CVE-2023-21823, uno de los errores más graves ya explotados en el componente de gráficos de Windows podría permitir que un atacante obtenga privilegios del sistema.
Otra falla ya explotada, CVE-2023-21715, es un problema de omisión de funciones en Microsoft Publisher, mientras que CVE-2023-23376 es una vulnerabilidad de escalada de privilegios en el controlador del sistema de archivos de registro común de Windows.
Son muchas fallas de día cero corregidas en una sola versión, así que tómelo como un aviso para actualizar sus sistemas basados en Microsoft lo antes posible.
googleandroid
La actualización de seguridad de febrero de Android ya está aquí y corrige múltiples vulnerabilidades en dispositivos que ejecutan el software para teléfonos inteligentes del gigante tecnológico. El más grave de estos problemas es una vulnerabilidad de seguridad en el componente Framework que podría conducir a una escalada local de privilegios sin necesidad de privilegios adicionales, señaló Google en un aviso.
Entre los problemas resueltos en el Marco, ocho se califican como de alto impacto. Mientras tanto, Google ha eliminado seis errores en el Kernel, así como fallas en los componentes del Sistema, MediaTek y Unisoc.
Durante el mes, Google reparó múltiples fallas de escalada de privilegios, así como vulnerabilidades de divulgación de información y denegación de servicio. La compañía también lanzó un parche para tres problemas de seguridad específicos de Pixel. El parche de febrero de Android ya está disponible para los dispositivos Pixel de Google, mientras que Samsung se ha movido rápidamente para enviar la actualización a los usuarios de su serie Galaxy Note 20.
Google Chrome
Google ha lanzado Chrome 110 para su navegador, corrigiendo 15 vulnerabilidades de seguridad, tres de las cuales están calificadas como de alto impacto. Rastreado como CVE-2023-0696, el primero de ellos es un error de confusión de tipos en el motor JavaScript V8, escribió Google en un aviso de seguridad.
Mientras tanto, CVE-2023-0697 es una falla que permite una implementación inapropiada en modo de pantalla completa, y CVE-2023-0698 es una falla de lectura fuera de los límites en WebRTC. Cuatro vulnerabilidades de gravedad media incluyen un uso después de la liberación en GPU, una falla de desbordamiento de búfer de almacenamiento dinámico en WebUI y una vulnerabilidad de confusión de tipos en Transferencia de datos. Otros dos defectos se califican como de bajo impacto.