Autor: Seguridad CSIRT-CV

Introducción

El fabricante de dispositivos Apple lanzó en el dia de ayer importantes actualizaciones de seguridad para sus plataformas insignia macOS e iOS, advirtiendo que múltiples defectos de seguridad exponen a los usuarios a ataques remotos.

Análisis

• La compañía publicó varios boletines para documentar al menos 21 vulnerabilidades de seguridad de iOS y 44 fallas de macOS que podrían provocar la ejecución de código, escalada de privilegios y exposición de datos confidenciales.

  Ninguna de estas vulnerabilidades está marcada como explotada en la naturaleza.

Recursos afectados

• • WatchOS, tvOS y Safari.
  • iOS
  • macOS

Recomendaciones

Aplicar las actualizaciones disponibles en la siguiente URL: https://support.apple.com/en-us/HT201222

Referencias

https://support.apple.com/en-us/HT201222

Mozilla y Google anunciaron esta semana actualizaciones de software para Firefox y Chrome que abordan múltiples vulnerabilidades de alta gravedad, incluidos errores de seguridad de la memoria.

Análisis

El martes, Mozilla lanzó Firefox 119 con parches para 11 vulnerabilidades, incluidos tres problemas de alta gravedad.

La primera de las fallas, CVE-2023-5721, es un error de retardo de activación insuficiente que podría provocar que el usuario active o descarte involuntariamente las indicaciones y diálogos del navegador, lo que podría permitir el secuestro de clics, señala Mozilla en su aviso .

La actualización del navegador también aborda varios problemas de seguridad de la memoria rastreados colectivamente como CVE-2023-5730 y CVE-2023-5731, y que potencialmente podrían permitir a los atacantes ejecutar código arbitrario.

Firefox 119 también llegó con parches para siete fallas de gravedad media que provocaron fugas de encabezados, fallas, errores inesperados, apertura de URL arbitrarias, notificaciones de pantalla completa oscurecidas y elusión de protecciones de descarga.

Mozilla también anunció el lanzamiento de Firefox ESR 115.4 y Thunderbird 115.4.1 con parches para ocho de los problemas solucionados con Firefox 119, incluidos CVE-2023-5721 y CVE-2023-5730.

El fabricante del navegador no menciona que ninguna de estas vulnerabilidades se aproveche en ataques maliciosos.

Por su parte, Google anunció una actualización de software para Chrome que soluciona dos vulnerabilidades, incluido un problema de alta gravedad informado por un investigador externo.

Registrada como CVE-2023-5472, la falla se describe como un problema de uso después de la liberación en Perfiles.

Los errores de uso después de la liberación en Chrome se pueden explotar para escapar del entorno limitado del navegador y potencialmente ejecutar código en el sistema operativo subyacente, siempre que se puedan combinar con otras fallas en un proceso privilegiado. Google no ha señalado que esta vulnerabilidad esté siendo explotada en estado salvaje.

Recursos afectados

• • Firefox for iOS con versiones anteriores a la 119.
  • Thunderbird con versiones anteriores a la 115.4.1.
  • Firefox con versiones anteriores a la ESR 115.4
  • Firefox con versiones anteriores a la 119.
  • Chrome con versiones anteriores a la 118.0.5993.117 para macOS y Linux y con versiones anteriores a la 118.0.5993.117/.118 para Windows.

Recomendaciones

Aplicar las actualizaciones necesarias a las versiones que corrigen las vulnerabilidades:

• • Firefox for iOS 119.
  • Thunderbird 115.4.1.
  • Firefox ESR 115.4
  • Firefox 119.
  • Chrome 118.0.5993.117 para macOS y Linux y 118.0.5993.117/.118 para Windows.

Referencias

Introducción

VMware ha informado de forma privada varias vulnerabilidades en VMware Aria Operations for Logs.

Análisis

CVE-2023-34051

La vulnerabilidad de gravedad alta (CVSS:8.1) se relaciona con un caso de omisión de autenticación que podría conducir a la ejecución remota de código.

CVE-2023-34052

La vulnerabilidad de gravedad alta (CVSS:8.1) se relaciona con deserialización. Un actor malintencionado con acceso no administrativo al sistema local puede desencadenar la deserialización de datos, lo que podría provocar una omisión de autenticación.

Recursos afectados

• • VMware Cloud Foundation versiones 5.x, 4.x

Recomendaciones

• • Aplicar los parches lanzados por VMware para corregir los fallos en cada una de las versiones, disponibles en la siguiente URL: https://kb.vmware.com/s/article/95212

Referencias

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades, que afectan a múltiples productos.

Análisis

Esta actualización resuelve 387 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de ‘Referencias’.

• • Las vulnerabilidades que afectan a Oracle Solaris pueden afectar a Oracle ZFSSA, por lo que los clientes de Oracle deben consultar el documento de conocimiento de actualización de parches críticos de Oracle y Sun Systems Product Suite, My Oracle Support Note 2160904.1 para obtener información sobre las revisiones mínimas de los parches de seguridad necesarios para resolver los problemas de ZFSSA publicados en actualizaciones de parches críticos y boletines de terceros de Solaris.

• • Los boletines de terceros de Solaris se utilizan para anunciar parches de seguridad para software de terceros distribuidos con Oracle Solaris. Los clientes de Solaris 10 deben consultar los conjuntos de parches más recientes que contienen parches de seguridad críticos detallados en el documento de disponibilidad de parches de sistemas. Se puede consultar el índice de referencia de ID de CVE y parches de Solaris (My Oracle Support Note 1448883.1) para obtener más información.

• • Los usuarios que ejecutan Java SE con un navegador pueden descargar la última versión desde la web de Java. Los usuarios de las plataformas Windows y mac OS X también pueden usar actualizaciones automáticas para obtener la última versión.

Recursos afectados

• • BI Publisher, versiones 6.4.0.0.0, 7.0.0.0.0, 12.2.1.4.0.
    
  • GoldenGate Big Data, versiones 21.3-21.10.
    
  • GoldenGate Veridata, versiones 12.2.1.4.0-12.2.1.4.230922.
    
  • Hospitality OPERA 5 Property Services, versión 5.6.
    
  • JD Edwards EnterpriseOne Tools, versión 9.2.7.
    
  • Management Cloud Engine, versión 23.1.0.0.
    
  • MySQL Cluster, versiones 8.0.34 y anteriores, 8.1.0.
    
  • MySQL Connectors, versiones 8.1.0 y anteriores.
    
  • MySQL Enterprise Monitor, versiones 8.0.35 y anteriores.
    
  • MySQL Installer, versiones anteriores a 1.6.8.
    
  • MySQL Server, versiones 5.7.43 y anteriores, 8.0.34 y anteriores, 8.1.0 y anteriores.
    
  • MySQL Shell, versiones 8.1.1 y anteriores.
    
  • Oracle Access Manager, versión 12.2.1.4.0.
    
  • Oracle Agile PLM, versión 9.3.6.
    
  • Oracle Application Testing Suite, versión 13.3.0.1.
    
  • Oracle Banking APIs, versiones 18.3, 19.1, 19.2, 21.1, 22.1, 22.2.
    
  • Oracle Banking Branch, versiones 14.5-14.7.
    
  • Oracle Banking Cash Management, versiones 14.5-14.7.
    
  • Oracle Banking Corporate Lending, versiones 14.0-14.3, 14.5-14.7.
    
  • Oracle Banking Corporate Lending Process Management, versiones 14.5-14.7.
    
  • Oracle Banking Credit Facilities Process Management, versiones 14.5-14.7.
    
  • Oracle Banking Deposits y Lines of Credit Servicing, versiones 2.7, 2.12.
    
  • Oracle Banking Digital Experience, versiones 18.3, 19.1, 19.2, 21.1, 22.1, 22.2.
    
  • Oracle Banking Electronic Data Exchange for Corporates, versiones 14.5-14.7.
    
  • Oracle Banking Liquidity Management, versiones 14.5-14.7.
    
  • Oracle Banking Loans Servicing, versión 2.12.
    
  • Oracle Banking Origination, versiones 14.5-14.7.
    
  • Oracle Banking Party Management, versión 2.7.
    
  • Oracle Banking Payments, versiones 14.0-14.3, 14.5-14.7.
    
  • Oracle Banking Platform, versiones 2.6.2, 2.9.0.
    
  • Oracle Banking Supply Chain Finance, versiones 14.5-14.7.
    
  • Oracle Banking Trade Finance, versiones 14.5-14.7.
    
  • Oracle Banking Trade Finance Process Management, versiones 14.5-14.7.
    
  • Oracle Banking Virtual Account Management, versiones 14.5-14.7.
    
  • Oracle Big Data Spatial y Graph, versiones 2.5 y anteriores.
    
  • Oracle Business Intelligence Enterprise Edition, versiones 6.4.0.0.0, 7.0.0.0.0, 12.2.1.4.0.
    
  • Oracle Business Process Management Suite, versión 12.2.1.4.0.
    
  • Oracle Coherence, versiones 12.2.1.4.0, 14.1.1.0.0.
    
  • Oracle Commerce Guided Search, versión 11.3.2.
    
  • Oracle Communications BRM – Elastic Charging Engine, versiones 12.0.0.4-12.0.0.8.
    
  • Oracle Communications Cloud Native Core Binding Support Function, versiones 23.1.0-23.1.8, 23.2.0-23.2.4.
    
  • Oracle Communications Cloud Native Core Console, versiones 23.1.1, 23.1.2, 23.2.1.
    
  • Oracle Communications Cloud Native Core Network Exposure Function, versiones 23.1.3, 23.3.0.
    
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versiones 23.2.0, 23.2.2.
    
  • Oracle Communications Cloud Native Core Network Repository Function, versiones 23.1.3, 23.2.1, 23.3.0.
    
  • Oracle Communications Cloud Native Core Policy, versiones 23.1.0-23.1.8, 23.2.0-23.2.4.
    
  • Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 23.1.0, 23.1.3, 23.3.0.
    
  • Oracle Communications Cloud Native Core Unified Data Repository, versión 23.1.2.
    
  • Oracle Communications Convergent Charging Controller, versión 12.0.6.0.
    
  • Oracle Communications Diameter Signaling Router, versiones 8.6.0.0, 9.0.0.0.
    
  • Oracle Communications Element Manager, versiones 9.0.0-9.0.2.
    
  • Oracle Communications IP Service Activator, versiones 7.4.0, 7.5.0.
    
  • Oracle Communications MetaSolv Solution, versión 6.3.1.0.0.
    
  • Oracle Communications Network Analytics Data Director, versión 23.2.0.
    
  • Oracle Communications Network Charging y Control, versión 12.0.6.0.
    
  • Oracle Communications Order y Service Management, versiones 7.4.0, 7.4.1.
    
  • Oracle Communications Policy Management, versión 12.6.0.0.
    
  • Oracle Communications Session Report Manager, versiones 9.0.0-9.0.2.
    
  • Oracle Communications Unified Assurance, versiones 5.5.0-5.5.17, 6.0.0-6.0.3.
    
  • Oracle Communications WebRTC Session Controller, versiones 7.2.0.0.0, 7.2.1.0.0.
    
  • Oracle Data Integrator, versión 12.2.1.4.0.
    
  • Oracle Database Server, versiones 19.3-19.20, 21.3-21.11.
    
  • Oracle Documaker, versiones 12.6.4-12.7.1.
    
  • Oracle E-Business Suite, versiones 12.2.3-12.2.12, [ECC] 8, [ECC] 9, [ECC] 10.
    
  • Oracle Enterprise Communications Broker, versiones 3.3, 4.0, 4.1.
    
  • Oracle Enterprise Data Quality, versión 12.2.1.4.0.
    
  • Oracle Enterprise Manager Base Platform, versión 13.5.0.0.
    
  • Oracle Enterprise Manager for Peoplesoft, versión 13.5.1.1.
    
  • Oracle Enterprise Manager Ops Center, versión 12.4.0.0.
    
  • Oracle Enterprise Operations Monitor, versiones 5.0, 5.1.
    
  • Oracle Enterprise Session Border Controller, versiones 9.0-9.2.
    
  • Oracle Essbase, versión 21.5.0.0.0.
    
  • Oracle Financial Services Cash Flow Engine, versión 8.1.2.0.0.
    
  • Oracle Financial Services Model Management y Governance, versiones 8.1.2.3, 8.1.2.4.
    
  • Oracle FLEXCUBE Core Banking, versiones 11.6-11.8, 11.10, 11.11.
    
  • Oracle FLEXCUBE Enterprise Limits y Collateral Management, versiones 12.3, 12.4, 14.0-14.3, 14.5-14.7.
    
  • Oracle FLEXCUBE Universal Banking, versiones 12.3, 12.4, 14.0-14.3, 14.5-14.7.
    
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0.
    
  • Oracle Global Lifecycle Management OPatch, versiones anteriores a 12.2.0.1.40.
    
  • Oracle GoldenGate Studio, versión 12.2.1.4.0.
    
  • Oracle GraalVM for JDK, versiones 17.0.8, 20.0.2.
    
  • Oracle Graph Server y Client, versiones 22.4.4 y anteriores.
    
  • Oracle Healthcare Master Person Index, versiones 5.0.0-5.0.6.
    
  • Oracle HTTP Server, versión 12.2.1.4.0.
    
  • Oracle Hyperion Infrastructure Technology, versión 11.2.14.0.0.
    
  • Oracle Identity Manager, versión 12.2.1.4.0.
    
  • Oracle Java SE, versiones 8u381, 8u381-perf, 11.0.20, 17.0.8, 20.0.2.
    
  • Oracle Life Sciences InForm, versión 7.0.0.0.
    
  • Oracle Life Sciences InForm Publisher, versión 6.3.1.0.
    
  • Oracle Managed File Transfer, versión 12.2.1.4.0.
    
  • Oracle Middleware Common Libraries y Tools, versión 12.2.1.4.0.
    
  • Oracle Outside In Technology, versión 8.5.6.
    
  • Oracle REST Data Services, versiones anteriores a 23.2.2.
    
  • Oracle Retail Bulk Data Integration, versiones 16.0.3, 19.0.1.
    
  • Oracle Retail Customer Management y Segmentation Foundation, versiones 18.0.0.13, 19.0.0.7.
    
  • Oracle Retail EFTLink, versiones 20.0.1, 21.0.0, 22.0.0.
    
  • Oracle Retail Financial Integration, versiones 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1.
    
  • Oracle Retail Fiscal Management, versión 14.2.
    
  • Oracle Retail Integration Bus, versiones 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1.
    
  • Oracle Retail Merchandising System, versión 19.0.1.
    
  • Oracle Retail Service Backbone, versiones 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1.
    
  • Oracle Retail Xstore Point of Service, versiones 18.0.5, 19.0.4, 20.0.3, 21.0.2, 22.0.0.
    
  • Oracle SD-WAN Edge, versiones 9.1.1.5.0, 9.1.1.6.0.
    
  • Oracle Secure Backup, versiones 18.1.0.1.0, 18.1.0.2.0.
    
  • Oracle Service Bus, versión 12.2.1.4.0.
    
  • Oracle SOA Suite, versión 12.2.1.4.0.
    
  • Oracle Solaris, versiones 10, 11.
    
  • Oracle Unified Directory, versión 12.2.1.4.0.
    
  • Oracle Utilities Application Framework, versiones 4.2.0.3.0, 4.3.0.1.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0, 4.5.0.0.1, 4.5.0.1.0-4.5.0.1.2.
    
  • Oracle Utilities Network Management System, versiones 2.3.0.2, 2.4.0.1.
    
  • Oracle VM VirtualBox, versiones anteriores a 7.0.12.
    
  • Oracle WebCenter Content, versión 12.2.1.4.0.
    
  • Oracle WebCenter Portal, versión 12.2.1.4.0.
    
  • Oracle WebLogic Server, versiones 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0.
    
  • PeopleSoft Enterprise CC Common Application Objects, versión 9.2.
    
  • PeopleSoft Enterprise HCM Global Payroll Switzerland, versión 9.2.
    
  • PeopleSoft Enterprise PeopleTools, versiones 8.59, 8.60.
    
  • Primavera Gateway, versiones 19.12.0-19.12.17, 20.12.0-20.12.12, 21.12.0-21.12.10.
    
  • Primavera Unifier, versiones 19.12.0-19.12.16, 20.12.0-20.12.16, 21.12.0-21.12.16, 22.12.0-22.12.9.
    
  • Siebel Applications, versiones 23.8 y anteriores.
    
  • Sun ZFS Storage Appliance, versión 8.8.60.
    
  • TimesTen In-Memory Database, versiones anteriores a 18.1.4.38.0, anteriores a 18.1.4.39.0, anteriores a 22.1.1.18.0.

Recomendaciones

• • Aplicar los parches correspondientes, según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Referencias