Esta semana Google corrigió seis fallas graves en Chrome 126, incluyendo una en el motor de script V8, mientras que Ubuntu actualizó ADOdb para solucionar vulnerabilidades que permitían ataques de inyección SQL y XSS en versiones como 22.04 LTS y 20.04 LTS. Progress Software también lanzó parches para MoveIt Transfer y MoveItGateway debido a nuevas vulnerabilidades que ya están siendo explotadas, y Atlassian abordó nueve fallas graves en Confluence, Crucible y Jira.
Actualización en Chrome 126 soluciona múltiples fallas de alta gravedad
Google lanzó la actualización Chrome 126 para solucionar una vulnerabilidad de alta gravedad demostrada en la competencia de hacker TyphoonPWN 2024. Esta actualización aborda seis vulnerabilidades, incluida una falla en el motor de script V8, registrada como CVE-2024-6100.
También se corrigieron otros problemas de alta gravedad en WebAssembly, Dawn, y otros componentes. La actualización de seguridad Chrome 126, versión 126.0.6478.114 para Linux y 126.0.6478.114/115 para Windows y macOS, ya se está implementando para los usuarios. Hasta el momento, Google no tiene conocimiento de ataques que exploten las fallas abordadas.
Vulnerabilidad crítica CVE-2024-38428 en wget
El CERT de Alemania advirtió sobre una falla crítica en el programa de línea de comandos wget, que tiene una puntuación base CVSS de 10,0. El CERT-Bund que esta la vulnerabilidad, que está contenida en las versiones de wget <=1.24.5, permitiría a un atacante remoto anónimo poder aprovechar la vulnerabilidad de wget para llevar a cabo un ataque no especificado. Cualquiera que utilice wget en Linux o Windows deben tomar medidas urgentes y dejar de utilizar el programa, advierten, porque hasta la fecha no hay una versión actualizada.
Atlassian parcha errores de gravedad alta en Confluence Data Center y Server
En su boletín de junio, Atlassian abordó nueve vulnerabilidades de alta gravedad en los productos Confluence, Crucible y Jira. La falla más crítica fue una autorización incorrecta en la dependencia org.springframework.security en Confluence Data Center y Server, identificada como CVE-2024-22257, con una puntuación CVSS de 8,2.
Además, la actualización de Confluence Data Center y Server resolvió otras cinco vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF) y denegación de servicio (DoS) en las versiones 8.9.3, 8.5.11 (LTS) y 7.19.24 (LTS). Atlassian también solucionó una vulnerabilidad DoS en Fisheye/Crucible, rastreada como CVE-2022-25647, con la versión 4.8.15.
MoveIt Transfer de Progress Software está bajo ataque nuevamente
Progress Software está enfrentando ataques debido a una nueva vulnerabilidad en su producto MoveIt Transfer, identificada como CVE-2024-5806, junto con otra en MoveItGateway (CVE-2024-5805). La Fundación Shadowserver observó intentos de explotación contra CVE-2024-5806 inmediatamente después de la divulgación de la falla. La empresa destacó la importancia de aplicar parches rápidamente, ya que el año pasado el grupo de ransomware Clop explotó una vulnerabilidad diferente en MoveIt Transfer, afectando a miles de clientes.
Progress Software lanzó correcciones para ambas fallas el pasado 11 de junio, instando a los usuarios a actualizar a las últimas versiones a pesar de que la actualización puede causar una interrupción del sistema. Además, se advirtió que una nueva vulnerabilidad en un componente de terceros en MoveIt Transfer aumenta los riesgos si no se parchea, aunque el parche actual no aborda este riesgo. Progress aclaró que las vulnerabilidades actuales no están relacionadas con la vulnerabilidad de día cero reportada en mayo de 2023 y hasta el miércoles no se habían recibido informes de explotación de las nuevas fallas.
Vulnerabilidades críticas de ADOdb solucionadas en Ubuntu
Múltiples vulnerabilidades fueron abordadas en ADOdb, una biblioteca de capas de abstracción de bases de datos PHP, que podrían causar graves problemas de seguridad, como ataques de inyección SQL, XSS y omisiones de autenticación. El equipo de seguridad de Ubuntu publicó actualizaciones para varias versiones, incluyendo Ubuntu 22.04 LTS, 20.04 LTS, 18.04 ESM y 16.04 ESM.
Las vulnerabilidades resueltas incluyen CVE-2016-7405, que afectó a Ubuntu 16.04 y permitía ataques de inyección SQL; el CVE-2016-4855, que permitía ataques XSS en Ubuntu 16.04; y el CVE-2021-3850, que permitía evitar la autenticación en conexiones PostgreSQL. Para proteger los sistemas, es esencial actualizar ADOdb a la última versión disponible. Aunque Ubuntu 16.04 y 18.04 ya no reciben correcciones de seguridad estándar, Canonical proporciona actualizaciones a través de Ubuntu Pro, y TuxCare ofrece soporte de ciclo de vida extendido para mantener los sistemas seguros mientras se planifica una migración.
Falla crítica de UEFI en el firmware de Phoenix afecta a las principales marcas de PC
Una vulnerabilidad de alto impacto en el firmware UEFI SecureCore de Phoenix Technologies podría permitir a los atacantes obtener persistencia continua en computadoras con chips Intel, afectando a dispositivos de Lenovo, Acer, Dell y HP. Identificada como CVE-2024-0762, esta falla de desbordamiento del búfer tiene una puntuación CVSS de 7,5 y podría afectar a cientos de modelos. La vulnerabilidad reside en el código UEFI que maneja la configuración del TPM, lo que permite modificar variables críticas y causar un desbordamiento del búfer de pila.
Eclypsium, la empresa que detectó la falla, identificó varios modelos vulnerables, específicamente Lenovo ThinkPad X1 Carbon 7th Gen y X1 Yoga 4th Gen, pero Phoenix Technologies reconoció que afecta a múltiples versiones de su firmware en diversas familias de procesadores Intel.