Google ha publicado esta semana varios parches que corrigen vulnerabilidades en varios de sus productos, algunos de los cuales se está usando por parte de los ciberdelincuentes para atacar a los usuarios de la compañía.
Google Chrome
La compañía inició con una serie de actualizaciones para Chrome 115, incluidas 9 consideradas de alto impacto. Cabe señalar que los 17 parches incluyen tres fallas de confusión de tipos en V8: CVE-2023-4068, así como CVE-2023-4069 y CVE-2023-4070. Y por su parte, CVE-2023-4071 viene siendo un problema de desbordamiento del búfer de montón en Visuals y así mismo, CVE-2023-4076 es una falla de uso después de la liberación en WebRTC.
Unas semanas después, Google publicó Chrome 116 para parchear 26 vulnerabilidades, ocho de las cuales se encuentran clasificadas como de alto impacto. Los problemas más graves incluyen CVE-2023-2312, el cual es un error de uso después de la liberación sin conexión, y CVE-2023-4349, una falla de uso después de la liberación en Device Trust Connectors. Por su parte, un tercero, CVE-2023-4350, viene siendo un error de implementación inadecuado en pantalla completa. Tiempo más tarde, el día 23 de agosto, Google lanzó la primera de sus actualizaciones de seguridad semanales más periódicas, reparando de esta forma cinco fallas.
Pero no fue solo Google. Microsoft, Mozilla, Cisco y hasta SAP hicieron lo propio.
Parches publicados en agosto
Microsoft
Es importante señalar que el martes de parche de agosto de Microsoft vio al gigante del software corregir docenas de vulnerabilidades, en donde entre ellas se incluyen dos que ya se utilizan en ataques del mundo real. La primera es una actualización de Defensa en profundidad a CVE-2023-36884, una falla de ejecución remota de código (RCE) en la búsqueda de Windows que podría permitir a los atacantes eludir la función de seguridad Marca de la Web de Microsoft. Si, si le parece familiar, es porque Microsoft ya solucionó la vulnerabilidad en el mes de julio. Sin embargo, la instalación de la última actualización “detiene la cadena de ataques” que conduce al problema, ha mencionado Microsoft. Así mismo, hay que mencionar que la segunda falla, CVE-2023-38180, viene siendo un problema en .NET y Visual Studio que podría permitir que un adversario efectúe una denegación de servicio.
6 de los problemas solucionados en el martes de parches de agosto se consideran críticos, incluido CVE-2023-36895, una falla RCE en el cliente de correo electrónico Outlook. Mientras tanto, hay que acotar que el CVE-2023-35385, así como el CVE-2023-36910 e incluso, el CVE-2023-36911 son problemas de RCE en el servicio Microsoft Message Queue Server, según la Guía de actualización de seguridad.
Así mismo, los problemas críticos quinto y sexto solucionados por Microsoft en agosto son CVE-2023-29328 y también CVE-2023-29330, los cuales son fallas RCE en Teams.
Firefox
Firefox por su parte, también tuvo un agosto agitado, reparando más de una docena de vulnerabilidades en Firefox 116. Los problemas solucionados incluyen algunos como; el CVE-2023-4045, el cual viene siendo un problema en Offscreen Canvas calificado como alto, y así mismo, el CVE-2023-4047, un error en el cálculo del retraso de las notificaciones emergentes que podría llegar a permitir a un atacante engañar a un usuario para que conceda permisos.
Según se pudo descubrir, la actualización también corrige errores de seguridad de la memoria rastreados como CVE-2023-4056, así como CVE-2023-4057 y CVE-2023-4058. Los fallos solucionados en la última actualización consiguieron mostrar evidencia de corrupción de memoria, o al menos esto es lo que han mencionado desde Mozilla.
Ivanti
El fabricante de software de TI Ivanti, lanzó varios parches notables durante agosto, incluidas correcciones para fallas utilizadas en ataques en el mundo real. Registrada como CVE-2023-35081, una vulnerabilidad de recorrido de ruta en Ivanti Endpoint Manager Mobile, permite a un atacante escribir archivos arbitrarios en el servidor de aplicaciones web.
El parche se produjo después de que los ministerios gubernamentales de Noruega fueran atacados por otra falla de Ivanti Endpoint Manager Mobile identificada como CVE-2023-35078. Desde Ivanti señalaron que este error se puede combinar con CVE-2023-35081 para evitar la autenticación del administrador.
Cisco
En cuanto a Cisco, la empresa de software empresarial se debe mencionar que ha lanzado parches para múltiples fallas en sus productos, algunas de las cuales están clasificadas como de alta gravedad. Registrado como CVE-2023-20197 (uno de los peores problemas), es una vulnerabilidad en el analizador de imágenes del sistema de archivos para Hierarchical File System Plus de ClamAV que podría permitir que un atacante remoto no autenticado provoque una denegación de servicio en un dispositivo afectado.
Entre tanto, una vulnerabilidad en el protocolo de sistema intermedio a sistema intermedio del software Cisco NX-OS para los conmutadores Cisco Nexus de la serie 3000 y así mismo, los conmutadores Cisco Nexus de la serie 9000 en modo NX-OS independiente podría llegar a permitir que un atacante no autenticado provoque el IS-IS proceso para reiniciarse de forma inesperada y un dispositivo para recargar.
SAVIA
SAP también lanzó un nuevo conjunto de correcciones para abordar las vulnerabilidades en sus productos. Se han solucionado múltiples fallas en SAP PowerDesigner, en donde se incluye una rastreada como CVE-2023-37483.
Por otra parte, las fallas solucionadas en agosto también incluyen CVE-2023-39437, la cual es una vulnerabilidad de secuencias de comandos entre sitios en SAP Business One. Ahora bien, otra solución de alta prioridad es un parche para un secuestro binario en SAP BusinessObjects Business Intelligence Suite, que tiene un seguimiento como CVE-2023-37490 y posee una puntuación CVSS de 7,6.