Tres nuevos avisos de seguridad
Índice
- Actualizaciones de seguridad de Microsoft de abril de 2025
- Boletín de seguridad de Qualcomm Technologies - abril de 2025
- Cambio de contraseña no verificada en FortiSwitch de Fortinet
Actualizaciones de seguridad de Microsoft de abril de 2025
- ASP.NET Core
- Active Directory Domain Services
- Azure Local
- Azure Local Cluster
- Azure Portal Windows Admin Center
- Dynamics Business Central
- Microsoft AutoUpdate (MAU)
- Microsoft Edge (basado en Chromium)
- Microsoft Edge for iOS
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office OneNote
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Streaming Service
- Microsoft Virtual Hard Drive
- OpenSSH for Windows
- Outlook for Android
- Power Automate
- RPC Endpoint Mapper Service
- Remote Desktop Client
- Remote Desktop Gateway Service
- System Center
- Visual Studio
- Visual Studio Code
- Visual Studio Tools for Applications and SQL Server Management Studio
- Windows Active Directory Certificate Services
- Windows BitLocker
- Windows Bluetooth Service
- Windows Common Log File System Driver
- Windows Cryptographic Services
- Windows DWM Core Library
- Windows Defender Application Control (WDAC)
- Windows Digital Media
- Windows HTTP.sys
- Windows Hello
- Windows Hyper-V
- Windows Installer
- Windows Kerberos
- Windows Kernel
- Windows Kernel Memory
- Windows Kernel-Mode Drivers
- Windows LDAP - Lightweight Directory Access Protocol
- Windows Local Security Authority (LSA)
- Windows Local Session Manager (LSM)
- Windows Mark of the Web (MOTW)
- Windows Media
- Windows Mobile Broadband
- Windows NTFS
- Windows Power Dependency Coordinator
- Windows Remote Desktop Services
- Windows Resilient File System (ReFS)
- Windows Routing and Remote Access Service (RRAS)
- Windows Secure Channel
- Windows Security Zone Mapping
- Windows Shell
- Windows Standards-Based Storage Management Service
- Windows Subsystem for Linux
- Windows TCP/IP
- Windows Telephony Service
- Windows USB Print Driver
- Windows Universal Plug and Play (UPnP) Device Host
- Windows Update Stack
- Windows Virtualization-Based Security (VBS) Enclave
- Windows Win32K - GRFX
- Windows upnphost.dll
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 8 de abril, consta de 126 vulnerabilidades (con CVE asignado), calificadas 100 como altas y 26 como medias.
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
- divulgación de información;
- omisión de funciones de seguridad;
- elevación de privilegios;
- ejecución remota de código.
Los códigos CVE asignados a las vulnerabilidades reportadas de menor criticidad pueden consultarse en las referencias.
Para la vulnerabilidad CVE-2025-29824 de Windows Kerberos existe una prueba de concepto (PoC) pública. A su vez, la vulnerabilidad CVE-2025-29824 en el driver del Windows Common Log File System está siendo explotada por el grupo Storm-2460 para desplegar Ransomware, esta vulnerabilidad tiene parche para todos los productos a los que afecta excepto para Windows 10 sistemas basados en x64 y Windows 10 sistemas 32-bit.
Boletín de seguridad de Qualcomm Technologies - abril de 2025
- HLOS;
- TZ Firmware;
- Automotive Vehicle Networks;
- Core;
- KERNEL;
- Data Network Stack & Connectivity;
- Trust Management Engine;
- Display;
- Automotive Linux OS;
- Automotive Software platform based on QNX;
- Windows WLAN Host;
- Computer Vision;
- WLAN Firmware;
- TZ Secure OS;
- DSP Service;
- WLAN Host;
- WLAN Host Communication;
- Multimedia Frameworks;
- Camera Driver;
- AUDIO.
Qualcomm ha publicado su boletín de seguridad mensual donde se solucionan 34 vulnerabilidades, 4 de ellas catalogadas por el fabricante como críticas.
La actualización resuelve vulnerabilidades producidas tanto en su propio software como en software de código abierto.
Instalar los parches facilitados por el fabricante.
Las vulnerabilidades catalogadas por el fabricante como críticas afectan al software propietario, en concreto a las siguientes tecnologías:
- HLOS: hay un error criptográfico en la verificación de PIN/contraseña cuando se usa Gatekeeper, donde pueden ser descartadas las escrituras RPMB si hay fallos en la verificación, esto puede, potencialmente, derivar en una omisión de las limitaciones del usuario. Se ha asignado el identificador CVE-2024-45551 para esta vulnerabilidad.
- TZ Firmware: puede surgir un problema criptográfico porque la configuración de control de acceso permite a Linux leer registros de claves en TCSR. Se ha asignado el identificador CVE-2024-45556 para esta vulnerabilidad.
- Automotive Vehicle Networks: tiene 2 vulnerabilidades de corrupción de memoria. Se han asignados los identificadores CVE-2025-21442 y CVE-2025-21443 para estas vulnerabilidades.
El resto de vulnerabilidades se pueden consultar en el aviso oficial disponible en las referencias.
Cambio de contraseña no verificada en FortiSwitch de Fortinet
Las siguientes versiones de FortiSwitch:
- 7.6.0;
- 7.4.0 a 7.4.4;
- 7.2.0 a 7.2.8;
- 7.0.0 a 7.0.10;
- 6.4.0 a 6.4.14.
Daniel Rozeboom, del equipo de desarrollo de interfaz de usuario web de FortiSwitch, ha informado de una vulnerabilidad de severidad crítica que podría permitir que un atacante remoto, no autenticado, modifique las contraseñas de administrador.
Actualizar a:
- 7.6.1,
- 7.4.5,
- 7.2.9,
- 7.0.11,
- 6.4.15
o versiones superiores.
Otra solución alternativa sería deshabilitar el acceso HTTP/HTTPS desde las interfaces administrativas y configurar hosts confiables para limitar los que pueden conectarse al sistema.
La vulnerabilidad de cambio de contraseña no verificada en la GUI de Fortinet FortiSwitch puede permitir que un atacante remoto, no autenticado, que cambie las contraseñas de administrador a través de una solicitud especialmente diseñada.
Se ha asignado el identificador CVE-2024-48887 para esta vulnerabilidad.