La actualización de Google Chrome 120 corrige vulnerabilidades de alta gravedad

Introduccion
Google anunció el martes 9 el lanzamiento de una actualización de seguridad Chrome 120 que soluciona 1 corrección de seguridad.
 

Análisis

CVE-2024-0333

Un atacante remoto podría aprovechar esta vulnerabilidad para activar la omisión de restricciones de seguridad en el sistema objetivo.

Recomendaciones

Actualizar a la version 120.0.6099.216 para Windows

Actualizar a la version 120.0.6099.216/217 para macOS y Linux

Referencias

https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_9.html

La actualización de Google Chrome 120 corrige vulnerabilidades de alta gravedad

Introduccion

Google anunció el martes el lanzamiento de una actualización de seguridad Chrome 120 que soluciona nueve vulnerabilidades, seis de las cuales fueron reportadas por investigadores externos.

Análisis

El problema se rastrea como CVE-2023-6702 y fue informado por los investigadores de Codesafe Team of Legends.Las cuatro fallos restantes de alta gravedad son errores de uso después de la liberación en los componentes Blink, libavif, WebRTC y FedCM del navegador.Google también parchó una vulnerabilidad de uso después de la liberación de gravedad media en CSS.

Las vulnerabilidades de uso después de la liberación son errores de corrupción de memoria que pueden explotarse para ejecutar código arbitrario, dañar datos o provocar denegación de servicio. En Chrome, estos problemas se pueden aprovechar para escapar del entorno limitado, pero sólo si se combinan con una falla en el sistema operativo subyacente o en un proceso privilegiado.

Recomendaciones

Actualizar a la version 120.0.6099.109/110 para Windows

Actualizar a la version 120.0.6099.109 para macOS y Linux

Referencias

https://www.softzone.es/noticias/programas/parche-seguridad-google-chrome-120/

https://www.securityweek.com/chrome-120-update-patches-high-severity-vulnerabilities/

Vulnerabilidad crítica en plugin de WordPress Backup Migration

Introduccion
 
Se ha descubierto una vulnerabilidad de gravedad crítica en un complemento de WordPress que puede permitir a los atacantes obtener la ejecución remota de código para comprometer completamente los sitios web vulnerables. Conocido como Backup Migration, el complemento ayuda a los administradores a automatizar las copias de seguridad del sitio en el almacenamiento local o en una cuenta de Google Drive.

 

Análisis

CVE-2023-6553

El error de seguridad (CVE-2023-6553 y clasificado con una puntuación de gravedad de 9,8) fue descubierto por un equipo de cazadores de errores conocido como Nex Team. Este permite a atacantes no autenticados apoderarse de sitios web específicos obteniendo la ejecución remota de código mediante la inyección de código PHP a través del archivo /includes/backup-heart.php.

Recomendaciones

Instalar el ultimo parche de seguridad

Versiones afectadas

Afecta a todas las versiones de complementos hasta Backup Migration 1.3.6 incluida.

Referencias

https://blog.segu-info.com.ar/2023/12/vulnerabilidad-critica-en-plugin-de.html

https://www.wordfence.com/blog/2023/12/critical-unauthenticated-remote-code-execution-found-in-backup-migration-plugin/

Microsoft publica parches de seguridad

Microsoft lanzó su conjunto final de actualizaciones de Patch Tuesday para 2023, solucionando 33 fallos en su software, lo que lo convierte en uno de los lanzamientos más livianos de los últimos años.

De las 33 vulnerabilidades, cuatro están clasificadas como críticas y 29 como importantes en cuanto a su gravedad. Las correcciones se suman a 18 fallos que Microsoft solucionó en su navegador Edge en noviembre.

Análisis

Si bien ninguna de las vulnerabilidades figura como conocida públicamente o bajo ataque activo en el momento del lanzamiento, algunas de las más notables se enumeran a continuación:

CVE-2023-35628 (puntuación CVSS: 8,1): vulnerabilidad de ejecución remota de código en la plataforma MSHTML de Windows.

CVE-2023-35630 (puntuación CVSS: 8,8): vulnerabilidad de ejecución remota de código de conexión compartida a Internet (ICS).

CVE-2023-35636 (puntuación CVSS: 6,5): vulnerabilidad de divulgación de información de Microsoft Outlook.

CVE-2023-35639 (puntuación CVSS: 8,8): vulnerabilidad de ejecución remota de código del controlador ODBC de Microsoft.

CVE-2023-35641 (puntuación CVSS: 8,8): vulnerabilidad de ejecución remota de código de conexión compartida a Internet (ICS).

CVE-2023-35642 (puntuación CVSS: 6,5): vulnerabilidad de denegación de servicio de conexión compartida a Internet (ICS).

CVE-2023-36019 (puntuación CVSS: 9,6): vulnerabilidad de suplantación de identidad del conector Microsoft Power Platform.

CVE-2023-35638 (puntuación CVSS: 7,5): vulnerabilidad de denegación de servicio del servicio del servidor DHCP.

CVE-2023-35643 (puntuación CVSS: 7,5): vulnerabilidad de divulgación de información del servicio del servidor DHCP.

CVE-2023-36012 (puntuación CVSS: 5,3): vulnerabilidad de divulgación de información del servicio del servidor DHCP

Recomendaciones

Instalar los ultimos parches de seguridad.

Referencias

https://thehackernews.com/2023/12/microsofts-final-2023-patch-tuesday-33.html