Es hora de comprobar tu actualizaciones de software. En marzo se lanzaron importantes parches para iOS de Apple, Chrome de Googley su competidor preocupado por la privacidad Firefox. Los gigantes del software empresarial, incluidos Cisco, VMware y SAP, también han solucionado errores.
Esto es lo que necesita saber sobre las actualizaciones de seguridad publicadas en marzo.
Apple iOS
Apple compensó un febrero tranquilo publicando dos parches separados en marzo. A principios de mes, el fabricante de iPhone lanzó iOS 17.4, solucionando más de 40 fallas, incluidos dos problemas que ya se utilizan en ataques de la vida real.
Seguimiento como CVE-2024-23225, el primer error en el kernel del iPhone podría permitir a un atacante eludir las protecciones de la memoria. «Apple está al tanto de un informe que indica que este problema puede haber sido aprovechado», dijo el fabricante del iPhone en su Pagina de soporte.
Registrada como CVE-2024-23296, la segunda falla en RTKit, el sistema operativo en tiempo real utilizado en dispositivos como los AirPods, también podría permitir a un adversario eludir las protecciones de la memoria del Kernel.
Más tarde, en marzo, Apple lanzó una segunda actualización de software, iOS 17.4.1, esta vez. fijación dos fallas en el software de su iPhone, ambas rastreadas como CVE-2024-1580. Utilizando los problemas solucionados en iOS 17.4.1, un atacante podría ejecutar código si convenciera a alguien para que interactuara con una imagen.
Poco después de lanzar iOS 17.4.1, Apple lanzó parches para sus otros dispositivos para corregir los mismos errores: Safari 17.4.1, macOS Sonoma 14.4.1 y macOS Ventura 13.6.6.
Google Chrome
Marzo fue otro mes agitado para Google, que corrigió múltiples fallas en su navegador Chrome. A mediados de mes, Google liberado 12 parches, incluida una solución para CVE-2024-2625, un problema del ciclo de vida del objeto en V8 con una clasificación de gravedad alta.
Los problemas de gravedad media incluyen CVE-2024-2626, un error de lectura fuera de límites en Swiftshader; CVE-2024-2627, una falla de uso después de la liberación en Canvas; y CVE-2024-2628, un problema de implementación inapropiada en Descargas.
A finales de mes, Google emitido siete correcciones de seguridad, incluido un parche para una falla crítica de uso después de la liberación en ANGLE rastreada como CVE-2024-2883. Otros dos errores de uso después de la liberación, identificados como CVE-2024-2885 y CVE-2024-2886, recibieron una calificación de alta gravedad. Mientras tanto, CVE-2024-2887 es un error de confusión de tipos en WebAssembly.
Los dos últimos problemas se explotaron en el concurso de piratería Pwn2Own 2024, por lo que debes actualizar tu navegador Chrome lo antes posible.
Mozilla Firefox
Firefox de Mozilla tuvo un mes de marzo muy ocupado, después parchear dos vulnerabilidades de día cero explotadas en Pwn2Own. CVE-2024-29943 es un problema de omisión de acceso fuera de límites, mientras que CVE-2024-29944 es una falla de ejecución privilegiada de JavaScript en los controladores de eventos que podría provocar un escape del entorno de pruebas. Se considera que ambas cuestiones tienen un impacto crítico.
A principios de mes, Mozilla liberado Firefox 124 para abordar 12 problemas de seguridad, incluido CVE-2024-2605, una falla de escape de espacio aislado que afecta a los sistemas operativos Windows. Un atacante podría haber aprovechado el Informe de errores de Windows para ejecutar código arbitrario en el sistema, escapando del entorno limitado, dijo Mozilla.
CVE-2024-2615 detecta errores de seguridad de memoria clasificados como críticos corregidos en Firefox 124. “Algunos de estos errores mostraron evidencia de corrupción de memoria, y suponemos que con suficiente esfuerzo [they] podría haber sido explotado para ejecutar código arbitrario”, dijo Mozilla.
android
Google ha publicado su marzo Boletín de seguridad de Androidsolucionando casi 40 problemas en su sistema operativo móvil, incluidos dos errores críticos en su componente del sistema. CVE-2024-0039 es una falla de ejecución remota de código, mientras que CVE-2024-23717 es una vulnerabilidad de elevación de privilegios.
«El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales», dijo Google en su aviso.