Category: Actualitat

Apple ha publicat una altra ronda de pegats de seguretat per a solucionar tres fallades de Zero-day activament explotats que afecten  iOS, iPadOS, macOS, watchOS i Safari, amb el que el nombre total de fallades de Zero-day descoberts en el seu programari enguany ascendeix a 16.

La llista de vulnerabilitats de seguretat és la següent

    • CVE-2023-41991 – Un problema de validació de certificats en el marc de seguretat que podria permetre a una aplicació maliciosa eludir la validació de signatures. 

    • CVE-2023-41992 – Una fallada de seguretat en el Kernel que podria permetre a un atacant local elevar els seus privilegis. 

  • CVE-2023-41993 – Una fallada de WebKit que podria donar lloc a l’execució de codi arbitrari en processar contingut web especialment dissenyat.

Apple no va proporcionar més detalls, excepte el reconeixement que el “problema pot haver sigut explotat activament contra versions de iOS anteriors a iOS 16.7”.

Recursos afectats

      Versions de iOS anteriors a iOS 16.

Recomanacions

Les actualitzacions estan disponibles per als dispositius i sistemes operatius següents.

• iOS 16.7 i iPadOS 16.7 – iPhone 8 i posteriors, iPad Pro (tots els models), iPad Air de 3a generació i posteriors, iPad de 5a generació i posteriors, i iPad mini de 5a generació i posteriors.
• iOS 17.0.1 i iPadOS 17.0.1 – iPhone XS i posteriors, iPad Pro de 12,9 polzades de segona generació i posteriors, iPad Pro de 10,5 polzades, iPad Pro d’11 polzades de primera generació i posteriors, iPad Air de tercera generació i posteriors, iPad de sisena generació i posteriors, iPad mini de cinquena generació i posteriors
• macOS Monterey 12.7 i macOS Ventura 13.6
• watchOS 9.6.3 i watchOS 10.0.1 – Apple Watch Sèries 4 i posteriors
• Safari 16.6.1 – macOS Big Sud i macOS Monterey

Referències

• • • https://thehackernews.com/2023/09/apple-rushes-to-patch-3-new-zero-day.html
    • https://support.apple.com/en-us/HT213927
    • https://support.apple.com/en-us/HT213926
    • https://support.apple.com/en-us/HT213932
    • https://support.apple.com/en-us/HT213931
      
    • https://support.apple.com/en-us/HT213929
    • https://support.apple.com/en-us/HT213928
    • https://support.apple.com/en-us/HT213930

S’ha reportat una vulnerabilitat de severitat alta que afecta el core de Drupal, l’explotació de la qual podria permetre una escalada de privilegis.

Aquesta vulnerabilitat afecta únicament pàgines web amb el mòdul JSON:API habilitat, ja que aquest mòdul mostrarà traces d’errors que en algunes configuracions podria provocar que la informació sensible s’emmagatzeme en caixet (cache poisoning) i es pose a la disposició de persones usuàries anònimes, de manera que podria donar lloc a una escalada de privilegis

Recursos afectats

    Core de Drupal, versions:

•         des de 8.7.0 fins a anteriors a 9.5.11;
•         des de 10.0 fins a anteriors a 10.0.11;
•         des de 10.1 fins a anteriors a 10.1.4.

    Drupal 7 no està afectat.

Recomanacions

    Instal·lar l’última versió:

•         Drupal 10.1, actualitzar a 10.1.4;
•         Drupal 10.0, actualitzar a 10.0.11;
•         Drupal 9.5, actualitzar a 9.5.11

  Totes les versions de Drupal 9 anteriors a la 9.5, juntament amb Drupal 8, estan en fase EoL i no reben actualitzacions de seguretat.

Referències

• https://www.drupal.org/project/drupal/releases/10.1.4
• https://www.drupal.org/project/drupal/releases/10.0.11
• https://www.drupal.org/project/drupal/releases/9.5.11
• https://www.drupal.org/sa-core-2023-006
• https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-escalada-de-privilegios-en-el-core-de-drupal