\n<\/p>\n
M\u00e1s tarde, en enero, Google lanz\u00f3 Chrome 121 al canal estable, solucionando 17 problemas de seguridad, tres de los cuales se consideran de alto impacto. Estos incluyen CVE-2024-0807, una falla de uso despu\u00e9s de la liberaci\u00f3n en WebAudio, y CVE-2024-0812, una vulnerabilidad de implementaci\u00f3n inapropiada en accesibilidad. La \u00faltima vulnerabilidad de alto impacto es CVE-2024-0808, un desbordamiento de enteros en WebUI.<\/p>\n
Obviamente, estas actualizaciones son importantes, as\u00ed que verif\u00edquelas y apl\u00edquelas lo antes posible.<\/p>\n
microsoft<\/p>\n
El martes de parches de enero de Microsoft elimina casi 50 errores en su popular software, incluidos 12 fallos de ejecuci\u00f3n remota de c\u00f3digo (RCE).<\/p>\n
No se sabe que se hayan utilizado en ataques ning\u00fan agujero de seguridad incluido en el conjunto de actualizaciones de este mes, pero las fallas notables incluyen CVE-2024-20677, un error en Microsoft Office que podr\u00eda permitir a los atacantes crear documentos maliciosos con archivos de modelo 3D FBX integrados para ejecutar. c\u00f3digo.<\/p>\n
Para mitigar esta vulnerabilidad, se deshabilit\u00f3 la capacidad de insertar archivos FBX en Word, Excel, PowerPoint y Outlook para Windows y Mac. Las versiones de Office que ten\u00edan esta caracter\u00edstica habilitada ya no tendr\u00e1n acceso a ella, dijo Microsoft.<\/p>\n
Mientras tanto, CVE-2024-20674 es una caracter\u00edstica de seguridad de Windows Kerberos que evita la vulnerabilidad clasificada como cr\u00edtica con una puntuaci\u00f3n CVSS de 8,8. En un escenario para esta vulnerabilidad, el atacante podr\u00eda convencer a una v\u00edctima para que se conecte a una aplicaci\u00f3n maliciosa controlada por el atacante, dijo Microsoft. \u00abAl conectarse, el servidor malicioso podr\u00eda comprometer el protocolo\u00bb, a\u00f1adi\u00f3 el gigante del software.<\/p>\n
Mozilla Firefox<\/p>\n
Pis\u00e1ndole los talones a Chrome, su competidor dominante en el mercado, Firefox de Mozilla ha solucionado 15 fallos de seguridad en su \u00faltima actualizaci\u00f3n. Cinco de los errores est\u00e1n clasificados como de alta gravedad, incluido CVE-2024-0741, un problema de escritura fuera de l\u00edmites en Angle que podr\u00eda permitir que un atacante corrompa la memoria, lo que provocar\u00eda un bloqueo explotable.<\/p>\n
Un valor de retorno no verificado en el c\u00f3digo de protocolo de enlace TLS rastreado como CVE-2024-0743 tambi\u00e9n podr\u00eda provocar un bloqueo explotable.<\/p>\n
CVE-2024-0755 cubre errores de seguridad de la memoria corregidos en Firefox 122, Firefox ESR 115.7 y Thunderbird 115.7. \u00abAlgunos de estos errores mostraron evidencia de corrupci\u00f3n de memoria y suponemos que con suficiente esfuerzo algunos de ellos podr\u00edan haber sido explotados para ejecutar c\u00f3digo arbitrario\u00bb, dijo Mozilla.<\/p>\n
cisco<\/p>\n
El gigante del software empresarial Cisco ha solucionado una vulnerabilidad en m\u00faltiples productos de soluciones de centros de contacto y comunicaciones unificadas de Cisco que podr\u00edan permitir que un atacante remoto no autenticado ejecute c\u00f3digo arbitrario en un dispositivo afectado.<\/p>\n
Registrada como CVE-2024-20253 y con una enorme puntuaci\u00f3n CVSS de 9,9, Cisco dijo que un atacante podr\u00eda explotar la vulnerabilidad enviando un mensaje dise\u00f1ado a un puerto de escucha de un dispositivo afectado.<\/p>\n
\u00abUn exploit exitoso podr\u00eda permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web\u00bb, dijo Cisco. \u00abCon acceso al sistema operativo subyacente, el atacante tambi\u00e9n podr\u00eda establecer acceso root en el dispositivo afectado\u00bb, advirti\u00f3.<\/p>\n
SAVIA<\/p>\n
SAP ha publicado 10 nuevas correcciones de seguridad como parte de su D\u00eda del parche de seguridad de enero, que incluye varios problemas con una puntuaci\u00f3n CVSS de 9,1. CVE-2023-49583 es \u200b\u200bun problema de escalada de privilegios en aplicaciones desarrolladas a trav\u00e9s de SAP Business Application Studio, SAP Web IDE Full-Stack y SAP Web IDE para SAP HANA.<\/p>\n
Mientras tanto, CVE-2023-50422 y CVE-2023-49583 son problemas de escalada de privilegios en SAP Edge Integration Cell.<\/p>\n
Otra falla notable es CVE-2024-21737, una vulnerabilidad de inyecci\u00f3n de c\u00f3digo en SAP Application Interface Framework, que tiene una puntuaci\u00f3n CVSS de 8,4. \u00abUn m\u00f3dulo funcional vulnerable de la aplicaci\u00f3n permite a un atacante atravesar varias capas y ejecutar comandos del sistema operativo directamente\u00bb, dijo la firma de seguridad Onapsis. \u00abLos exploits exitosos pueden causar un impacto considerable en la confidencialidad, integridad y disponibilidad de la aplicaci\u00f3n\u00bb.<\/p>\n<\/div>\n