Las actualizaciones han continuado, se lanzará rápido y rápido en octubre, con parches ahora disponibles de Apple para iOS, Google Chrome, Android y, por supuesto, Microsoft en su parche mensual el martes. Eso es además de las actualizaciones para solucionar problemas en los productos zoom, cisco, VMware y SAP. Aquí están los detalles sobre todos los parches importantes emitidos en octubre.
-Apple iOS 16.1 y iPadOS 16
Octubre vio el lanzamiento de dos iOS 16 versiones posteriores al lanzamiento del sistema operativo actualizado del fabricante de iPhone en septiembre. Primero llegó iOS 16.0.3, que solucionó algunos problemas iniciales, incluidos varios errores, así como una falla de seguridad en el Correo que podría permitir ataques de denegación de servicio.
Solo unas semanas después, Apple lanzó iOS 16.1 y iPadOS 16 —, el último de los cuales se retrasó para coincidir con el lanzamiento de últimos modelos de iPad. Las últimas versiones de iOS vienen con una lista mucho más larga de correcciones de seguridad e incluyen una falla ya explotada.
Rastreado como CVE-2022-42827, la vulnerabilidad del kernel podría permitir que una aplicación ejecute código con privilegios del kernel, de acuerdo con Apple página de soporte. La actualización del sistema operativo corrige 20 vulnerabilidades en total, incluidas tres en el núcleo en el corazón del sistema operativo del iPhone. Mientras tanto, iOS 16.1 corrige cuatro fallas en WebKit, el motor que alimenta el navegador Safari, dos de las cuales podrían conducir a la ejecución del código si se explotan.
Apple también ha lanzado iOS 15.7.1 y iPadOS 15.7.1 que arreglan la falla del núcleo ya explotada.
Dada la gravedad de los problemas y la falta de detalles proporcionados, es una buena idea actualizar a iOS 16.1 o iOS 15.7.1 lo antes posible.
-Parche de Microsoft el martes
Patch Tuesday ha llegado una vez más junto con arreglos para una bastante fuerte lista de 84 defectos. De estos, 13 son clasificado como crítico, y uno está siendo utilizado en ataques. Rastreado como CVE-2022-41033, la elevación de la vulnerabilidad de privilegios en Windows COM + Event System Service impacta casi todas las versiones de Windows. La falla es grave, ya que podría estar encadenada con otras hazañas para hacerse cargo de la máquina de alguien.
Notablemente ausente de las actualizaciones de Patch Tuesday había una solución para dos errores explotados activamente rastreados como CVE-2022-41040 y CVE-2022-41082, conocidos como ProxyNotShell. Los defectos fueron reportados a Microsoft por el proveedor de seguridad GTSC. Microsoft ha compartido mitigaciones, pero los investigadores advertir pueden ser evitados.
-Google Chrome
Octubre vio otra actualización de emergencia para usuarios de Google Chrome, con el fabricante del navegador emisión una solución para una falla de confusión de tipo en el motor V8 JavaScript seguido como CVE-2022-3723. El problema se parchó pocos días después de ser informado por los investigadores de Avast, lo que indica cuán grave es: la falla podría explotarse para ejecutar código y obtener el control del sistema. Google dijo que “tiene conocimiento de informes de que existe un exploit para CVE-2022-3723 en la naturaleza.”
A principios de mes, Google lanzó Chrome 106, parcheando seis vulnerabilidades clasificadas como de alta gravedad. Las fallas notables incluyen CVE-2022-3445, un error sin uso posterior en Skia, la biblioteca de gráficos 2D de código abierto que sirve como motor gráfico para Google Chrome.
Otros problemas solucionados en octubre son un desbordamiento de búfer de almacenamiento dinámico en WebSQL rastreado como CVE-2022-3446 y un error sin uso posterior en la API de permisos rastreada como CVE-2022-3448, Google escribió en su blog. Google también corrigió dos errores de uso libre en Safe Browsing y en Peer Connection.
-Google Android
los Boletín de seguridad de Android para octubre incluye correcciones para 15 fallas en el Marco y Sistema y 33 problemas en el núcleo y los componentes del proveedor. Una de las cuestiones más preocupantes es una vulnerabilidad de seguridad crítica en el componente Marco que podría conducir a una escalada local de privilegios, rastreada como CVE-2022-20419. Mientras tanto, una falla en el Kernel también podría conducir a una escalada local de privilegios sin privilegios de ejecución adicionales necesarios.
No se sabe que ninguno de los problemas se haya utilizado en ataques, pero aún tiene sentido verificar su dispositivo y actualizarlo cuando pueda. Google ha publicado la actualización de sus dispositivos Pixel y también está disponible para los teléfonos inteligentes Samsung Galaxy S21 y S22 series y Galaxy S21 FE.
-Cisco
Cisco tiene instado las compañías deben corregir dos fallas en su Cliente de movilidad segura AnyConnect para Windows después de que se confirmó que las vulnerabilidades se están utilizando en ataques. Rastreado como CVE-2020-3433, el primero podría permitir que un atacante con credenciales válidas en Windows ejecute código en la máquina afectada con privilegios del sistema.
Mientras tanto, CVE-2020-3153 podría permitir que un atacante con credenciales válidas de Windows copie archivos maliciosos en ubicaciones arbitrarias con privilegios a nivel de sistema.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. Ya ha agregado los defectos de Cisco a su catálogo de vulnerabilidades explotadas. Si bien ambas fallas de Cisco requieren que el atacante sea autenticado, aún es importante actualizarlo ahora.
-Zoom
Servicio de videoconferencia Zoom parchó varios números en octubre, incluida una falla en su cliente Zoom para reuniones, que se marca como de alta gravedad con un puntaje CVSS de 8.8. Zoom dice que las versiones anteriores a la versión 5.12.2 son susceptibles a una vulnerabilidad que se busca en la URL rastreada como CVE-2022-28763.
“Si se abre una URL de reunión de Zoom maliciosa, el enlace puede ordenar al usuario que se conecte a una dirección de red arbitraria, lo que lleva a ataques adicionales que incluyen adquisiciones de sesión,” Zoom dijo en un boletín de seguridad.
A principios de mes, Zoom alertó a los usuarios de que su cliente para reuniones para macOS a partir de 5.10.6 y antes de 5.12.0 contenía una configuración errónea del puerto de depuración.
-VMWare
El gigante de software VMWare ha parcheado una grave vulnerabilidad en su Cloud Foundation Rastreado como CVE-2021-39144. La vulnerabilidad de ejecución remota de código a través de la biblioteca de código abierto XStream se considera que tiene una gravedad crítica con una puntuación base máxima de CVSSv3 de 9.8. “Debido a un punto final no autenticado que aprovecha XStream para la serialización de entrada en VMware Cloud Foundation, un actor malicioso puede obtener la ejecución remota de código en el contexto de ‘raíz’ en el aparato,” VMWare dijo en un asesor.
La actualización de VMware Cloud Foundation también aborda una vulnerabilidad de entidad externa XML con un puntaje base CVSSv3 menor de 5.3. Rastreado como CVE-2022-31678, el error podría permitir que un usuario no autenticado realice la denegación de servicio.
-Zimbra
La firma de software Zimbra ha emitido parches para corregir una falla de ejecución de código ya explotada que podría permitir que un atacante acceda a las cuentas de los usuarios. El problema, seguido como CVE-2022-41352, tiene un puntaje de gravedad CVSS de 9.8.
La explotación fue vista por Rápido7 investigadores, que identificaron signos de que se había utilizado en ataques. Zimbra lanzó inicialmente una solución alternativa para solucionarlo, pero ahora que el parche está disponible, debe aplicarlo lo antes posible.
-SAP
La firma de software empresarial SAP ha publicado 23 Notas de seguridad nuevas y actualizadas en su día de parche de octubre. Entre los problemas más graves se encuentra una vulnerabilidad crítica de Path Traversal en la ejecución de fabricación de SAP. La vulnerabilidad afecta a dos complementos: Visor de instrucciones de trabajo y Prueba visual y Reparación y tiene una puntuación CVSS de 9.9. Otro problema con un puntaje CVSS de 9.6 es una vulnerabilidad de secuestro de cuenta en la página de inicio de sesión de SAP Commerce.
-Oráculo
El gigante de software Oracle ha lanzado la friolera de 370 parches como parte de su actualización trimestral de seguridad. Oracle’s Actualización crítica del parche para octubre corrige 50 vulnerabilidades calificadas como críticas.
La actualización contiene 37 nuevos parches de seguridad para Oracle MySQL, 11 de los cuales pueden ser remotamente explotables sin autenticación. También contiene 24 nuevos parches de seguridad para aplicaciones de servicios financieros de Oracle, 16 de los cuales pueden ser remotamente explotables sin autenticación.
Debido a “la amenaza planteada por un ataque exitoso,” Oracle “recomienda encarecidamente” que los clientes apliquen parches de seguridad de actualización de parche crítico lo antes posible.