Categoría: Actualidad

Google ha advertido que un fallo de seguridad que afecta a su sistema operativo Android ha sido explotado activamente.

Análisis

La vulnerabilidad, identificada como CVE-2024-43093, ha sido descrita como un fallo de escalada de privilegios en el componente Android Framework que podría resultar en acceso no autorizado a los directorios «Android/data», «Android/obb» y «Android/sandbox» y sus subdirectorios.

Google también ha señalado que CVE-2024-43047, un error de seguridad ahora parcheado en los chipsets de Qualcomm, ha sido explotado activamente. Se trata de una vulnerabilidad de uso posterior a la liberación en el servicio del procesador de señal digital (DSP), cuya explotación exitosa podría provocar la corrupción de la memoria.

El aviso no ofrece detalles sobre la actividad de explotación dirigida al fallo ni cuándo pudo haber comenzado, aunque es posible que haya sido aprovechado como parte de ataques de software espía altamente específicos dirigidos a miembros de la sociedad civil.

Actualmente tampoco se sabe si ambas vulnerabilidades de seguridad fueron diseñadas juntas como una cadena de explotación para elevar privilegios y lograr la ejecución de código.

CVE-2024-43093 es el segundo fallo del marco de Android explotado activamente después de CVE-2024-32896 , que fue parcheada por Google en junio y septiembre de 2024. Si bien originalmente se resolvió solo para dispositivos Pixel, la compañía confirmó más tarde que la falla afecta al ecosistema Android más amplio.

Recomendaciones

Se recomienda actualizar el dispositivo cuyo sistema operativo sea Android a la ultima versión.

Referencias

• • https://thehackernews.com/2024/11/google-warns-of-actively-exploited-cve.html
  • https://www.redeszone.net/noticias/seguridad/google-alerta-vulnerabilidad-moviles/

Google y Mozilla anunciaron el martes actualizaciones de seguridad para sus navegadores web Chrome y Firefox.

Análisis

Google ha lanzado una actualización (Chrome 130) para su navegador Chrome que incluye parches para dos vulnerabilidades críticas.
Una de ellas, identificada como CVE-2024-10487, ha sido descrita como un problema crítico de escritura fuera de límites en Dawn, la implementación multiplataforma del estándar WebGPU y puede ser utilizada por cibercriminales como una descarga automática. Eso significa que el dispositivo de una víctima podría verse comprometido con solo visitar un sitio web o un anuncio malicioso.

El equipo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple informó del problema a Google hace apenas una semana. También se utilizan diferentes implementaciones de la API de gráficos WebGPU en Firefox y Safari, pero no está claro si estos navegadores también se ven afectados por CVE-2024-10487.

Si bien no hay información sobre para qué se puede explotar CVE-2024-10487, en general, la explotación de problemas de escritura fuera de los límites puede provocar la ejecución de código arbitrario. Google no ha mencionado nada sobre la explotación en la práctica.

La segunda vulnerabilidad parcheada con el lanzamiento de Chrome 130 es CVE-2024-10488, un error de uso después de la liberación de alta gravedad en WebRTC. La vulnerabilidad es un problema de uso posterior a la liberación que reside en WebRTC y podría provocar la ejecución de código arbitrario o causar un bloqueo. Podría usarse para posibles robos de datos o bloqueos del sistema.

Por su parte Mozilla lanzó Firefox 132 y Thunderbird 132. Las últimas versiones del navegador y del cliente de correo electrónico corrigen las mismas 11 vulnerabilidades, incluidos dos de alta gravedad.

Uno de ellos, identificado como CVE-2024-10458, se ha descrito como una fuga de permisos que puede ocurrir desde un sitio web confiable a un sitio web que no lo es. El segundo problema, CVE-2024-10459, es un uso posterior a la liberación que puede provocar un bloqueo explotable.

A las vulnerabilidades restantes se les han asignado calificaciones de gravedad «media» y «baja» y su explotación puede conducir a suplantación de identidad, ataques XSS, fugas de datos, condiciones de denegación de servicio (DoS) y ejecución de código arbitrario.

Recursos afectados

• • Google Chrome en versiones anteriores a Chrome 130.
  • Mozilla Firefox en versiones anteriores a Firefox 132.
  • Mozilla Thunderbird en versiones anteriores a Thunderbird 132.

Recomendaciones

Ambos fabricantes han publicado versiones actualizadas de los productos, por lo que se recomienda actualizarlos a las versiones mas recientes (Chrome 130, Firefox 132 y Thunderbird 132).

Referencias

• • https://securityaffairs.com/170395/security/google-fixed-critical-chrome-flaw.html
  • https://www.securityweek.com/google-patches-critical-chrome-vulnerability-reported-by-apple/
  • https://www.malwarebytes.com/blog/news/2024/10/patch-now-new-chrome-update-for-two-critical-vulnerabilities

Autodesk ha lanzado parches de seguridad que corrigen múltiples vulnerabilidades en algunas versiones de productos Autodesk.
La explotación de las vulnerabilidades detectadas puede provocar ejecución de código, escritura fuera de límites y desbordamiento de buffer. Asimismo, para que sean explotadas estas vulnerabilidades se precisa de la interacción del usuario.

Análisis

Todas las vulnerabilidades detectadas en los productos se encuentran dentro de la clasificación de severidad alta, cabe destacar que las vulnerabilidades para ser explotadas requieren de la interacción del usuario y que pueden llegar a provocar ejecución de código, pudiendo llegar a infectar los sistemas con malware. Además, esta vulnerabilidad solo afecta a versiones de Windows de los productos afectados.

Adicionalmente, se describen otras vulnerabilidades que permiten la escritura fuera de los límites y el desbordamiento de buffer, pudiendo llegar a leer datos confidenciales o sobrescribir en memoria para la ejecución de código malicioso.

Recursos afectados

• • Productos Autodesk afectados versiones 2025, 2024:
    AutoCAD;
    AutoCAD Architecture;
    AutoCAD Electrical;
    AutoCAD Mechanical;
    AutoCAD MEP;
    AutoCAD Plant 3D;
    Civil 3D;
    Advance Steel.

• • Productos Autodesk afectados versión 2025:
    Elemento DWG TrueView;
    AutoCAD LT.

Recomendaciones

Se recomienda a los usuarios de estos productos que actualicen a la versión más reciente para disponer de mayor protección desde canales oficiales Autodesk Access o Portal de cuentas. Además, se recomienda que los usuarios solo abran archivos de fuentes confiables.

Para los productos Autodesk de versiones 2025 actualizar a la versión 2025.1.1 y para los productos afectado de versión 2024 actualizar el firmware a la versión 2024.1.6.

Referencias

• • https://www.incibe.es/empresas/avisos/multiples-vulnerabilidades-detectadas-en-varios-productos-de-autodesk-que-requieren

Apple lanzó actualizaciones de seguridad para solucionar vulnerabilidades en varios de sus productos.

Análisis

Apple anunció el lunes nuevas actualizaciones de seguridad para los usuarios de iOS, macOS, iPadOS y watchOS que abordan más de 70 CVE en sus plataformas, incluidos varios errores que conducen a modificaciones protegidas del sistema de archivos.
Especialmente importantes son las actualizaciones para iOS y iPadOS, que abordan vulnerabilidades que podrían filtrar información confidencial de los usuarios.

Según Apple, las vulnerabilidades se resolvieron con mejoras en la autenticación, controles, lógica, validación de entrada, manejo de contenido, administración de memoria, redacción de datos privados, administración de estado y manejo de archivos y memoria.

iOS 18.1 y iPadOS 18.1 ya se están implementando para los usuarios móviles con parches para 28 vulnerabilidades que podrían provocar fugas de información, divulgación de memoria de procesos, denegación de servicio, escape de sandbox, modificación de archivos de sistema protegidos, corrupción de montón y acceso a archivos restringidos.

De entre las vulnerabilidades mas destacadas se encuentran:

• • CVE-2024-44274 : vulnerabilidad en la accesibilidad que podría permitir que un atacante con acceso físico a un dispositivo bloqueado vea información confidencial del usuario. Este problema se ha corregido en iOS 17.7.1 y iPadOS 17.7.1, watchOS 11.1, iOS 18.1 y iPadOS 18.1 con autenticación mejorada.
  • CVE-2024-44282 : vulnerabilidad en Foundation que provocaba que el análisis de un archivo pudiera provocar la divulgación de información del usuario. Este problema se ha solucionado en tvOS 18.1, iOS 18.1 y iPadOS 18.1, iOS 17.7.1 y iPadOS 17.7.1, macOS Ventura 13.7.1, macOS Sonoma 14.7.1, watchOS 11.1 y visionOS 2.1 mediante una validación de entrada mejorada. Foundation funciona como un marco fundamental que ofrece una capa base de funcionalidad para los sistemas operativos de Apple. Entre otras cosas, es responsable del acceso al sistema de archivos.
  • CVE-2024-40867 : vulnerabilidad en iTunes causada por un problema de manejo de esquemas de URL personalizados que podría ser utilizado por un atacante para salir de la zona protegida de contenido web. Este problema se solucionó en iOS 18.1 y iPadOS 18.1 mediante una validación de entrada mejorada. Salir de la zona protegida de contenido web permite que un sitio web o un atacante malintencionado acceda potencialmente a datos confidenciales, controle otras partes del sistema y comprometa la seguridad general del dispositivo más allá de las limitaciones previstas del navegador web.

Recursos afectados

• • iOS 18.1 y iPadOS 18.1
  • iOS 17.7.1 y iPadOS 17.7.1
  • macOS Sequoia 15.1
  • macOS Sonoma 14.7.1
  • macOS Ventura 13.7.1
  • Safari 18.1
  • watchOS 11.1
  • tvOS 18.1
  • visiónOS 2.1

Recomendaciones

Apple ha publicado actualizaciones de todos los productos que corrigen las vulnerabilidades. Se recomienda a los usuarios de los diversos productos que comprueben la versión instalada y apliquen las actualizaciones correspondientes.

Referencias

• • https://www.cisa.gov/news-events/alerts/2024/10/29/apple-releases-security-updates-multiple-products
  • https://www.securityweek.com/apple-patches-over-70-vulnerabilities-across-ios-macos-other-products/
  • https://www.malwarebytes.com/blog/news/2024/10/update-your-iphone-mac-watch-apple-issues-patches-for-several-vulnerabilities