El ciclo de parches de verano no muestra signos de desaceleración, con los gigantes tecnológicos Apple, Google y Microsoft lanzando múltiples actualizaciones para corregir las fallas que se utilizan en los ataques de la vida real. Julio también vio errores graves aplastados por las empresas de software empresarial SAP, Citrix y Oracle.
Aquí encontrará todo lo que necesita saber sobre los principales parches lanzados durante el mes.
Apple iOS y iPadOS 16.6
Apple tuvo un julio ajetreado después de publicar dos actualizaciones de seguridad separadas durante el mes. La primera actualización del fabricante de iPhone se presentó en forma de un parche de respuesta de seguridad rápida solo de seguridad.
Era solo la segunda vez que Apple emitía una respuesta de seguridad rápida, y el proceso no fue tan sencillo como el primero. El 10 de julio, Apple lanzó iOS 16.5.1 9 (a) para corregir una única falla de WebKit que ya se estaba utilizando en los ataques, pero el fabricante del iPhone se retractó rápidamente después de descubrir que el parche rompió varios sitios web para los usuarios. Apple volvió a publicar la actualización como iOS 16.5.1 (c) unos días después, y finalmente solucionó el problema de WebKit sin romper nada más.
Más adelante en el mes, la actualización principal de iOS 16.6 de Apple apareció con 25 correcciones de seguridad, incluido el error de WebKit ya explotado parcheado en iOS 16.5.1 (c), rastreado como CVE-2023-37450.
Entre los otros errores eliminados en iOS 16.6 se encuentran 11 en el Kernel en el núcleo del sistema operativo iOS, uno de los cuales Apple dijo que ya se está utilizando en ataques. La falla del Kernel es el tercer problema de iOS descubierto por el equipo de seguridad Kaspersky como parte de los ataques de «spyware de triangulación» de clic cero.
Apple también lanzó iOS 15.7.8 para usuarios de dispositivos más antiguos, así como iPadOS 16.6, Safari 16.6, macOS Ventura 13.5, macOS Monterey 12.6.8, macOS Big Sur 11.7.9, tvOS 16.6 y watchOS 9.6.
microsoft
El martes de parches de julio de Microsoft es una actualización a tener en cuenta porque corrige 132 vulnerabilidades, incluidas varias fallas de día cero. Lo primero es lo primero: uno de los errores detallados en la actualización del parche, rastreado como CVE-2023-36884, aún no se ha solucionado. Mientras tanto, el gigante tecnológico ha ofrecido pasos para mitigar la falla ya explotada, que aparentemente ha sido utilizada en ataques por parte de una pandilla rusa de ciberdelincuencia.
Otras fallas de día cero incluidas en el martes de parches de Microsoft son CVE-2023-32046, un error de elevación de privilegios de plataforma en el componente central de Windows MSHTML, y CVE-2023-36874, una vulnerabilidad en el servicio de Informe de errores de Windows que podría permitir que un atacante para obtener derechos de administrador. Mientras tanto, CVE-2023-32049 es una vulnerabilidad ya explotada en la función Windows SmartScreen.
No hace falta decir que debe actualizar lo antes posible mientras está atento a la solución para CVE-2023-36884.
googleandroid
Google ha actualizado su sistema operativo Android, corrigiendo docenas de vulnerabilidades de seguridad, incluidas tres que, según dice, «pueden estar bajo explotación limitada y dirigida».
La primera de las vulnerabilidades ya explotadas es CVE-2023-2136, un error de ejecución remota de código (RCE) en el Sistema con una puntuación CVSS de 9,6. La vulnerabilidad de seguridad crítica podría conducir a RCE sin necesidad de privilegios adicionales, según la firma de tecnología. “La interacción del usuario no es necesaria para la explotación”, advirtió Google.
CVE-2023-26083 es un problema en el controlador de GPU Arm Mali para chips Bifrost, Avalon y Valhall, clasificado como de impacto moderado. La vulnerabilidad se utilizó para entregar software espía a dispositivos Samsung en diciembre de 2022.
CVE-2021-29256 es una falla de alta gravedad que también afecta a los controladores del núcleo de la GPU Bifrost y Midgard Arm Mali.
Las actualizaciones de Android ya han llegado a los dispositivos Pixel de Google y a algunos de la gama Galaxy de Samsung. Dada la gravedad de los errores de este mes, es una buena idea verificar si la actualización está disponible e instalarla ahora.
Google cromo 115
Google ha publicado la actualización Chrome 115 para su popular navegador, solucionando 20 vulnerabilidades de seguridad, cuatro de las cuales están calificadas como de alto impacto. CVE-2023-3727 y CVE-2023-3728 son errores de uso después de la liberación en WebRTC. La tercera falla clasificada como de alta gravedad es CVE-2023-3730, una vulnerabilidad de uso posterior a la liberación en Tab Groups, mientras que CVE-2023-3732 es un error de acceso a la memoria fuera de los límites en Mojo.
Seis de las fallas se enumeran como de gravedad media, y no se sabe que ninguna de las vulnerabilidades se haya utilizado en ataques de la vida real. Aun así, Chrome es una plataforma muy específica, así que revisa tu sistema para ver si hay actualizaciones.