La necesidad de sacar parches para corregir determinadas vulnerabilidades sigue tambien en verano, ya que los gigantes tecnológicos Apple, Google y Microsoft han lanzado múltiples actualizaciones para corregir fallos que están siendo explotadas en ataques. En julio, también se solucionaron graves problemas por parte de empresas de software empresarial como SAP, Citrix y Oracle.

A continuación, te presentamos todo lo que necesitas saber sobre los principales parches lanzados durante el mes:

Apple iOS y iPadOS 16.6

Apple tuvo un mes de julio ocupado al emitir dos actualizaciones de seguridad separadas. La primera actualización del fabricante de iPhones vino en forma de un parche de seguridad llamado «Rapid Security Response» (Respuesta de Seguridad Rápida). El 10 de julio, Apple lanzó iOS 16.5.1 (a) para corregir una sola vulnerabilidad de WebKit que ya estaba siendo explotada en ataques, pero rápidamente lo retiró después de descubrir que el parche rompía varios sitios web para los usuarios. Apple volvió a emitir la actualización como iOS 16.5.1 (c) unos días después, finalmente corrigiendo el problema de WebKit sin romper nada más.

Más adelante en el mes, apareció la importante actualización de iOS 16.6 de Apple con 25 correcciones de seguridad, incluida la vulnerabilidad de WebKit ya parcheada en iOS 16.5.1 (c), identificada como CVE-2023-37450.

Entre las otras vulnerabilidades corregidas en iOS 16.6 se encuentran 11 en el Kernel del sistema operativo iOS, una de las cuales Apple dijo que ya está siendo utilizada en ataques. La vulnerabilidad del Kernel es el tercer problema de iOS descubierto por el equipo de seguridad Kaspersky como parte de los ataques de «spyware de triangulación» de «cero clic».

Apple también lanzó iOS 15.7.8 para los usuarios de dispositivos más antiguos, así como iPadOS 16.6, Safari 16.6, macOS Ventura 13.5, macOS Monterey 12.6.8, macOS Big Sur 11.7.9, tvOS 16.6 y watchOS 9.6.

Microsoft

El «Patch Tuesday» de Microsoft en julio es una actualización a tener en cuenta porque soluciona 132 vulnerabilidades, incluidas varias vulnerabilidades de día cero. Primero lo primero: una de las vulnerabilidades detalladas en la actualización de parches, identificada como CVE-2023-36884, aún no ha sido corregida. Mientras tanto, el gigante tecnológico ha ofrecido pasos para mitigar la vulnerabilidad ya explotada, que aparentemente ha sido utilizada en ataques por una pandilla de ciberdelincuentes rusos.

Otras vulnerabilidades de día cero incluidas en el «Patch Tuesday» de Microsoft son CVE-2023-32046, una vulnerabilidad de elevación de privilegios en la plataforma en el componente central de Windows llamado MSHTML, y CVE-2023-36874, una vulnerabilidad en el servicio de informe de errores de Windows que podría permitir a un atacante obtener derechos de administrador. Mientras tanto, CVE-2023-32049 es una vulnerabilidad ya explotada en la función «Windows SmartScreen».

Es evidente que debes actualizar tan pronto como sea posible y estar atento a la corrección para CVE-2023-36884.

Google Android

Google ha actualizado su sistema operativo Android, corrigiendo docenas de vulnerabilidades de seguridad, incluidas tres que según ellos «podrían estar siendo explotadas de forma limitada y dirigida».

La primera de las vulnerabilidades ya explotadas es CVE-2023-2136, una vulnerabilidad de ejecución remota de código (RCE) en el Sistema con una calificación de CVSS de 9.6. La vulnerabilidad de seguridad crítica podría llevar a una ejecución remota de código sin necesidad de privilegios adicionales, según advirtió la empresa tecnológica. «No se necesita interacción del usuario para la explotación», advirtió Google.

CVE-2023-26083 es un problema en el controlador de GPU Arm Mali para chips Bifrost, Avalon y Valhall, calificado como de impacto moderado. La vulnerabilidad se utilizó para entregar spyware a dispositivos Samsung en diciembre de 2022.

CVE-2021-29256 es una vulnerabilidad de alta gravedad que también afecta a los controladores del kernel de GPU Arm Mali Bifrost y Midgard.

Las actualizaciones de Android ya han llegado a los dispositivos Pixel de Google y a algunos dispositivos de la gama Galaxy de Samsung. Dada la gravedad de las vulnerabilidades de este mes, es una buena idea comprobar si la actualización está disponible e instalarla de inmediato.

Google Chrome 115

Google ha lanzado la actualización Chrome 115 para su popular navegador, corrigiendo 20 vulnerabilidades de seguridad, cuatro de las cuales tienen un alto impacto. CVE-2023-3727 y CVE-2023-3728 son vulnerabilidades de uso después de liberar en WebRTC. La tercera vulnerabilidad con una alta gravedad es CVE-2023-3730, una vulnerabilidad de uso después de liberar en grupos de pestañas (Tab Groups), mientras que CVE-2023-3732 es una vulnerabilidad de acceso a memoria fuera de límites en Mojo.

Seis de las vulnerabilidades se clasifican como de gravedad media, y no se sabe que ninguna de ellas haya sido utilizada en ataques en la vida real. Aun así, Chrome es una plataforma muy atacada, por lo que es recomendable verificar si hay actualizaciones disponibles para tu sistema.

Firefox 115

A la par de Chrome 115, el navegador rival Mozilla ha lanzado Firefox 115, corrigiendo varias vulnerabilidades que califica como de alta gravedad. Entre ellas se encuentran dos vulnerabilidades de uso después de liberar, identificadas como CVE-2023-37201 y CVE-2023-37202.

El fabricante de este navegador, que se preocupa por la privacidad, también corrigió dos vulnerabilidades de seguridad relacionadas con la memoria, identificadas como CVE-2023-37212 y CVE-2023-37211. Según Mozilla, las vulnerabilidades de seguridad en la memoria están presentes en Firefox 114, Firefox ESR 102.12 y Thunderbird 102.12.