Posted on

Actualitzacions de seguretat de maig de 2025 de Microsoft

Ahir, 13 de maig de 2025, Microsoft va publicar la seua actualització mensual de seguretat, Patch Tuesday, abordant un total de 75 vulnerabilitats. Cinc d’estes vulnerabilitats han sigut identificades com a «zero-day» activament explotades, mentres que altres dos han sigut divulgades públicament sense evidència d’explotació. A més, s’han corregit 12 vulnerabilitats crítiques, principalment d’execució remota de codi (RCE) i elevació de privilegis.
Estes vulnerabilitats afecten una àmplia gamma de productes, inclosos Windows (10, 11 i versions de servidor), Microsoft Office, Visual Studio, Edge (mode IE), i servicis com Active Directory i Remote Desktop Gateway. La gravetat d’esta ronda de pegats destaca la necessitat urgent d’aplicar les actualitzacions corresponents.

Anàlisi

A continuació, es destaquen les vulnerabilitats més rellevants:

    • Zero days actius
      • CVE-2025-30397 (CVSS 7.5): corrupció de memòria en el motor de scripting de tipus execució remota de codi (RCE). Explotada activament.
      • CVE-2025-32706 (CVSS ND): vulnerabilitat en CLFS (Common Log File System) de tipus elevació de privilegis. Explotada activament.
      • CVE-2025-32701 (CVSS ND): vulnerabilitat addicional en CLFS de tipus elevació de privilegis. Explotada activament.
      • CVE-2025-32709 (CVSS ND): vulnerabilitat en Windows WinSock Helper de tipus elevació de privilegis. Explotada activament.
      • CVE-2025-32392 (CVSS ND): vulnerabilitat en el component MSHTML (Edge IE mode) de tipus RCE via navegador. Explotada activament.
    • Altres vulnerabilitats crítiques
      • CVE-2025-30504 (CVSS 9.8): vulnerabilitat de tipus elevació de privilegis.
      • CVE-2025-30501 (CVSS 8.1): vulnerabilitat de tipus execució remota de Codi (RCE).
      • CVE-2025-30506 (CVSS 8.5): vulnerabilitat de tipus execució remota de Codi (RCE).
      • CVE-2025-30502 (CVSS 8.8): vulnerabilitat de tipus execució remota de Codi (RCE).

Recursos afectats

    • Sistemes operatius: Windows 10 i 11.
    • Aplicacions: Microsoft Edge (mode IE), Visual Studio, Microsoft Defender for Identity.
    • Servicis: Windows Routing and Remote Access Service (RRAS), Remote Desktop Gateway Service, Active Directory Certificate Services (AD CS).

Recomanacions

    • Aplicar totes les actualitzacions de seguretat proporcionades per Microsoft.
    • Prioritzar la mitigació dels 5 zero-days, especialment en sistemes exposats a internet.
    • Deshabilitar el mode IE en Microsoft Edge si no és necessari.
    • Revisar i reforçar les configuracions de seguretat en servicis com RRAS i Remote Desktop Gateway.

Referències

Posted on

Actualitzacions de seguretat d’Apple

Apple va llançar l’actualització de seguretat iOS 18.5 per abordar múltiples vulnerabilitats crítiques en les seues plataformes iOS i macOS. Estes vulnerabilitats podrien ser explotades per atacants per a executar un codi arbitrari, comprometre la privacitat de l’usuari i afectar l’estabilitat del sistema.

Anàlisi

A continuació, es detallen les principals vulnerabilitats corregides en iOS 18.5, juntament amb els seus identificadors CVE i puntuacions CVSS:

    • CVE-2025-31251 (CVSS 7.8): AppleJPEG: Vulnerabilitat que permet l’execució de codi arbitrari en processar arxius multimèdia manipulats. manipulados.
    • CVE-2025-31239 (CVSS 7.5): CoreMedia: Vulnerabilitat d’ús després d’alliberar memòria que pot causar l’acabament inesperat d’aplicacions.
    • CVE-2025-31233 (CVSS 7.5): CoreMedia: Vulnerabilitat similar que afecta el processament d’arxius de vídeo i permet l’execució de codi arbitrari.
    • CVE-2025-31208 (CVSS 7.5): CoreAudio: Problema d’anàlisi d’arxius que pot provocar l’acabament inesperat d’aplicacions.
    • CVE-2025-31209 (CVSS 7.5): CoreGraphics: Lectura fora de límits en l’anàlisi d’arxius que pot revelar informació sensible.
    • CVE-2025-31222 (CVSS 7.0): mDNSResponder: Vulnerabilitat que permet l’escalada de privilegis a través de la manipulació de servicis de xarxa.
    • CVE-2025-31214 (CVSS 7.0): Baseband: Vulnerabilitat en la gestió de l’estat que permet la intercepció de trànsit de xarxa en dispositius iPhone 16e.
    • CVE-2025-31225 (CVSS 6.5): Call History: Exposició d’historial de telefonades d’aplicacions eliminades en els resultats de busca de Spotlight.
    • CVE-2025-31212 (CVSS 6.5): Core Bluetooth: Accés no autoritzat a dades sensibles per part d’aplicacions a través de la gestió inadequada de l’estat.
    • CVE-2025-31219 (CVSS 6.4): FaceTime: Vulnerabilitat en la funció de silenci del micròfon que pot permetre la transmissió d’àudio no desitjada.

Recursos afectats

Les versions de dispositius Apple següents es veuen afectades per estes vulnerabilitats:

    • iPhone: Models des d’iPhone XS en avant.
    • iPad: Models des d’iPad 7a generació, iPad Air 3a generació, iPad mini 5a generació, i totes les versions d’iPad Pro.
    • macOS: Versions afectades inclouen macOS Ventura 13.6.8, macOS Sonoma 14.6, i versions anteriors.
    • watchOS y tvOS: Versions afectades inclouen watchOS 10.6 i tvOS 17.6.

A més, s’ha identificat una vulnerabilitat en el component Baseband (CVE-2025-31214) que afecta exclusivament els dispositius iPhone 16e que permet la intercepció de trànsit de xarxa en una posició privilegiada de la xarxa.

Recomanacions

Els usuaris han d’actualitzar els seus dispositius a iOS 18.5, iPadOS 18.5 o les versions corresponents de macOS, watchOS i tvOS.

Referències

Posted on

[SCI] Múltiples vulnerabilitats en Revolution Pi de KUNBUS

Introducció

Adam Bromiley de Pen Test Partners va reportar estes vulnerabilitats a CISA que afecten a Revolution PI de KUNBUS. En total són 4 vulnerabilitats, dos crítiques, una alta i una mitjana que, en cas de ser explotades, podrien permetre a un atacant evitar l’autenticació, obtindre accés no autoritzat a funcions crítiques i executar server-side includes (SSI) malicioses en una pàgina web. [1]

Anàlisi

Les vulnerabilitats trobades són les següents:

    • CVE-2025-24522 – Omissió d’Autenticació per Debilitat Primària (CWE-305):

Revolution Pi US Bookworm no té configurada l’autenticació per defecte per al servidor Node-RED. Això pot permetre a un atacant remot no autenticat l’accés complet al servidor Node-RED on pot executar comandos arbitraris en el sistema operatiu subjacent.

    • CVE-2025-32011 – Omissió d’Autenticació per Debilitat Primària (CWE-305):

Revolution Pi PiCtory té una vulnerabilitat d’evitació d’autenticació per la qual un atacant remot pot evitar l’autenticació i obtindre accés a través d’un path traversal.

Estes vulnerabilitats afecten els següents recursos:

    • Revolution Pi US Bookworm, versions anteriors a la 01/2025;
    • Revolution Pi PiCtory, versió 2.11.1 i anteriors.

Recomanacions

Per al producte Revolution Pi PiCtory, actualitzar a la versió 2.12. El producte es pot actualitzar a través del gestor de KUNBUS UI Cockpit o des del portal de descàrregues. [2]

Referències

[1] CISA – ICSA-25-121-01 – KUNBUS GmbH Revolution Pi
[2] https://packages.revolutionpi.de/pool/main/p/pictory/

Posted on

Butlletí de seguretat d’Android de maig de 2025

Google ha publicat el butlletí de seguretat d’Android de maig de 2025, en què corregeix un total de 47 vulnerabilitats que afecten diverses capes del sistema operatiu, segons ha informat el mitjà de comunicació CyberScoop.

Entre els errors solucionats destaca la CVE-2025-27363, una vulnerabilitat crítica que afecta el component del sistema i que ja estava sent explotada activament abans de ser reparada. Aquesta vulnerabilitat es troba en la biblioteca de renderització de tipus de lletra FreeType, utilitzada per Android per a gestionar el text en pantalla. Segons Google, l’explotació d’aquest error permet l’execució local de codi arbitrari sense necessitat de privilegis addicionals ni interacció de l’usuari, cosa que eleva considerablement la seua gravetat.

El butlletí inclou dos nivells de pegats: 2025-05-01 i 2025-05-05, que permeten als fabricants de dispositius Android aplicar les correccions de manera escalonada. A més de la vulnerabilitat ja explotada, s’han solucionat altres errors relacionats amb l’elevació de privilegis, la divulgació d’informació, la denegació de servei i l’execució remota de codi, repartits entre els components del sistema, el framework, el nucli i els controladors de fabricants.

Una part important de les vulnerabilitats corregides afecta xips i controladors de fabricants com Qualcomm i MediaTek, fet que evidencia la complexitat de l’ecosistema Android i la necessitat d’una coordinació efectiva entre Google i els seus socis per a distribuir els pegats de manera oportuna.

Google recomana a tots els usuaris mantindre els seus dispositius actualitzats i aplicar les últimes actualitzacions de seguretat tan prompte com estiguen disponibles. Aquest tipus de pegats no només corregeixen errors, sinó que també bloquegen vies d’atac que ja estan sent aprofitades per actors maliciosos, com ha passat amb la CVE-2025-27363.

Referències

    • https://cyberscoop.com/android-security-update-may-2025/
    • https://source.android.com/docs/security/bulletin/2025-05-01?hl=es-419
  •