Apple publica un parche para Zero-Day crítico en iPhones y Macs

Apple publicó el lunes actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari para abordar una falla de Zero-Day que ha sido objeto de explotación activa.

Se trata de la primera vulnerabilidad de Zero-Day activamente explotada que Apple parchea este año. El año pasado, el fabricante del iPhone había abordado 20 vulnerabilidades que se han empleado en ataques del mundo real.

Análisis

El problema, registrado como CVE-2024-23222, es un error de confusión de tipo que podría ser explotado por un actor de amenaza para lograr la ejecución de código arbitrario al procesar contenido web maliciosamente diseñado.

Las vulnerabilidades de confusión de tipos, en general, podrían ser utilizadas como arma para realizar accesos a memoria fuera de los límites o provocar un bloqueo y la ejecución de código arbitrario.

Apple, en un escueto aviso, reconoció que es «consciente de un informe de que este problema puede haber sido explotado», pero no compartió ningún otro dato específico sobre la naturaleza de los ataques o los actores de la amenaza que aprovechan la deficiencia.

Además, Apple también ha retroportado las correcciones de CVE-2023-42916 y CVE-2023-42917 -cuyos parches se publicaron en diciembre de 2023- a dispositivos más antiguos –

La revelación también se produce después de que las autoridades chinas revelaran que han utilizado vulnerabilidades previamente conocidas en la funcionalidad AirDrop de Apple para ayudar a las fuerzas de seguridad a identificar a los remitentes de contenido inapropiado, utilizando una técnica basada en tablas arcoíris.

Versiones Afectadas

      • tvOS 17.3
      • Safari 17.3
      • macOS Monterey 12.7.3
      • macOS Ventura 13.6.4
      • iOS 17.3 and iPadOS 17.3
      • macOS Sonoma 14.3
      • iOS 16.7.5 and
      • iPadOS 16.7.5

Recomendaciones

Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:

      • iOS 17.3 y iPadOS 17.3 – iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de 2ª generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de 1ª generación y posteriores, iPad Air de 3ª generación y posteriores, iPad de 6ª generación y posteriores, y iPad mini de 5ª generación y posteriores.
      • iOS 16.7.5 y iPadOS 16.7.5 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1ª generación
      • macOS Sonoma 14.3 – Macs con macOS Sonoma
      • macOS Ventura 13.6.4 – Macs con macOS Ventura
      • macOS Monterey 12.7.3 – Macs con macOS Monterey
      • tvOS 17.3 – Apple TV HD y Apple TV 4K (todos los modelos)
      • Safari 17.3 – Macs con macOS Monterey y macOS Ventura

Referencias

https://thehackernews.com/2024/01/apple-issues-patch-for-critical-zero.html
https://support.apple.com/en-us/HT214055
https://support.apple.com/en-us/HT214056
https://support.apple.com/en-us/HT214057
https://support.apple.com/en-us/HT214058
https://support.apple.com/en-us/HT214059
https://support.apple.com/en-us/HT214061
https://support.apple.com/en-us/HT214063

Vulnerabilidad en Apache OpenOffice

Introducción

Se ha detectado una vulnerabilidad de alta severidad, en Apache OpenOffice. Esta vulnerabilidad permite la ejecución de código no deseada.

Análisis

 Las vulnerabilidades críticas se detallan a continuación:

CVE-2023-47804

Corrupción de memoria en el core debido a una conversión de tipo incorrecta en la función secure_io_read/write en TEE (Trusted Execution Environment).

Versiones Afectadas

Apache OpenOffice versiones 4.1.14 y anteriores

Las versiones de OpenOffice.org también pueden estar afectadas

Recomendaciones

Actualice a Apache OpenOffice 4.1.15

Referencias

http://www.openwall.com/lists/oss-security/2024/01/03/3
https://lists.apache.org/thread/ygp59swfcy6g46jf8v9s6qpwmxn8fsvb
https://www.openoffice.org/security/cves/CVE-2023-47804.html
https://nvd.nist.gov/vuln/detail/CVE-2023-47804

Boletín de seguridad de Android: enero de 2024

Introducción

El boletín de Android, relativo a enero de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios o una divulgación de información.

Análisis

 Las vulnerabilidades críticas se detallan a continuación:

CVE-2023-21651

Corrupción de memoria en el core debido a una conversión de tipo incorrecta en la función secure_io_read/write en TEE (Trusted Execution Environment).

CVE-2023-33025

Copia del búfer sin comprobar el tamaño de la entrada en el módem de datos.

CVE-2023-33036

Denegación de servicio (DoS) permanente en Hypervisor mientras la máquina virtual, no confiable y sin soporte PSCI, realiza una llamada.

Recomendaciones

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.

Referencias

https://source.android.com/docs/security/bulletin/2024-01-01?hl=es

Microsoft publica parches de seguridad (Enero 2024)

Microsoft ha abordado un total de 48 fallos de seguridad que abarcan su software como parte de sus actualizaciones del martes de parches para enero de 2024.

De los 48 errores, dos están clasificados como críticos y 46 como importantes en cuanto a su gravedad. No hay evidencia de que alguno de los problemas sea de conocimiento público o esté bajo ataque activo en el momento del lanzamiento.

Análisis

Los fallos más críticos corregidos en este mes son los siguientes:

CVE-2024-20674 (puntuación CVSS: 9.0):
Vulnerabilidad de omisión de la función de seguridad Kerberos de Windows. La función de autenticación podría omitirse ya que esta vulnerabilidad permite la suplantación. Un atacante autenticado podría explotar esta vulnerabilidad estableciendo un ataque de máquina en el medio (MitM) u otra técnica de suplantación de red local, y luego enviando un mensaje Kerberos malicioso a la máquina cliente víctima para simular ser el servidor de autenticación Kerberos.

CVE-2024-20700 (puntuación CVSS: 7,5):
Vulnerabilidad de ejecución remota de código de Hyper-V en Windows. No requiere autenticación ni interacción del usuario para lograr la ejecución remota de código, aunque ganar una condición de carrera es un requisito previo para organizar un ataque.

CVE-2024-20653 (puntuación CVSS: 7,8):
Vulnerabilidad de escalada de privilegios que afecta al controlador Common Log File System (CLFS).

CVE-2024-0056 (puntuación CVSS: 8,7):
Vulnerabilidad de una omisión de seguridad que afecta al sistema. Data.SqlClient y Microsoft.Data.SqlClient.

Recomendaciones

Instalar los ultimos parches de seguridad.

Referencias

https://thehackernews.com/2024/01/microsofts-january-2024-windows-update.html

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan