Diciembre fue un mes agitado en cuanto a actualizaciones, ya que empresas como Apple y Google se apresuraron a sacar parches para corregir defectos graves en sus productos antes de las vacaciones.
Los gigantes del software empresarial también publicaron una buena cantidad de parches, y Atlassian y SAP solucionaron varios errores críticos durante diciembre.
Esto es lo que necesita saber sobre las actualizaciones importantes que quizás se haya perdido durante el mes.
Apple iOS
A mediados de diciembre, Apple lanzó iOS 17.2, una importante actualización que contiene funciones como la aplicación Journal, así como 12 parches de seguridad. Entre los defectos fijado en iOS 17.2 es CVE-2023-42890un problema en el motor del navegador WebKit que podría permitir a un atacante ejecutar código.
Otra falla en el kernel del iPhone, rastreada como CVE-2023-4291, podría provocar que una aplicación salga de su entorno de pruebas seguro, escribió Apple en su Pagina de soporte. Mientras tanto, dos vulnerabilidades en ImageIO, CVE-2023-42898 y CVE-2023-42899, podrían provocar la ejecución de código.
La actualización de iOS 17.2 también implementó un mecanismo para evitar un ataque de Bluetooth utilizando un dispositivo de prueba de penetración llamado Aleta cerosegún pruebas realizadas por ZDNET y 9to5Mac. El molesto ciberataque por denegación de servicio podría provocar la aparición de una ráfaga de ventanas emergentes en un iPhone y, finalmente, bloquear el dispositivo.
Apple también lanzó iOS 16.7.3, Safari 17.2, macOS Sonoma 14.2, macOS Ventura 13.6.3, macOS Monterey 12.7.2, tvOS 17.2 y watchOS 10.2.
Apenas una semana después del lanzamiento de iOS 17.2, Apple lanzó iOS 17.2.1 y iOS 16.7.4 para dispositivos más antiguos, junto con macOS Sonoma 14.2.1. La actualización sorpresa de iPhone contiene correcciones de seguridad y errores no especificados, mientras que el parche de macOS corrige una única falla identificada como CVE-2023-42940.
android
El diciembre de Google Android Boletín de seguridad fue considerable y solucionó casi 100 problemas de seguridad. La actualización incluye parches para dos problemas críticos en Framework, el más grave de los cuales podría provocar una escalada remota de privilegios sin necesidad de privilegios adicionales. La interacción del usuario no es necesaria para la explotación, dijo Google.
CVE-2023-40088 es una falla crítica en el sistema que podría conducir a la ejecución remota de código, mientras que CVE-2023-40078 es un error de elevación de privilegios calificado como de alto impacto.
Google también ha emitido un actualizar para su plataforma WearOS de dispositivo inteligente, arreglando CVE-2023-40094, un defecto de elevación de privilegios. El boletín de seguridad de Pixel no se ha publicado al momento de escribir este artículo.
Google Chrome
Google puso fin a un diciembre excelente de actualizaciones con estilo con un arreglo de emergencia para su navegador Chrome. La octava vulnerabilidad de día cero que afectará a Chrome en 2024 CVE-2023-7024 es un problema de desbordamiento del búfer de montón en el componente WebRTC de código abierto. Google es «consciente de que existe un exploit para CVE-2023-7024», dijo el fabricante del navegador en un consultivo.
No fue la primera solución publicada por Google en diciembre. El gigante del software también emitido un parche de Chrome a mitad de mes para solucionar nueve problemas de seguridad. De las fallas reportadas por investigadores externos, cinco están clasificadas como de alta gravedad, incluido CVE-2023-6702, una falla de confusión de tipos en V8 y cuatro errores de uso después de la liberación.