Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cuatro nuevos avisos de seguridad

Índice

  • Actualizaciones de seguridad de Microsoft de marzo de 2025
  • Escritura fuera de los límites en WebKit de Apple
  • Omisión de la autenticación en Cray XD670 de HPE
  • Escritura fuera de los límites en FreeType

Actualizaciones de seguridad de Microsoft de marzo de 2025

Fecha12/03/2025
Importancia4 - Alta
Recursos Afectados
  • .NET
  • ASP.NET Core & Visual Studio
  • Azure Agent Installer
  • Azure Arc
  • Azure CLI
  • Azure PromptFlow
  • Kernel Streaming WOW Thunk Service Driver
  • Microsoft Edge (Chromium-based)
  • Microsoft Local Security Authority Server (lsasrv)
  • Microsoft Management Console
  • Microsoft Office
  • Microsoft Office Access
  • Microsoft Office Excel
  • Microsoft Office Word
  • Microsoft Streaming Service
  • Microsoft Windows
  • Remote Desktop Client
  • Role: DNS Server
  • Role: Windows Hyper-V
  • Visual Studio
  • Visual Studio Code
  • Windows Common Log File System Driver
  • Windows Cross Device Service
  • Windows Fast FAT Driver
  • Windows File Explorer
  • Windows Kernel Memory
  • Windows Kernel-Mode Drivers
  • Windows MapUrlToZone
  • Windows Mark of the Web (MOTW)
  • Windows NTFS
  • Windows NTLM
  • Windows Remote Desktop Services
  • Windows Routing and Remote Access Service (RRAS)
  • Windows Subsystem for Linux
  • Windows Telephony Server
  • Windows USB Video Driver
  • Windows Win32 Kernel Subsystem
  • Windows exFAT File System
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 11 de marzo, consta de 57 vulnerabilidades (con CVE asignado), 44 como altas (una de ellas clasificada con máxima gravedad) y 13 como medias.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

La vulnerabilidad de severidad alta clasificada con máxima gravedad se describe como:

  • ejecución remota de código (CVE-2025-26645).

Los códigos CVE asignados a las vulnerabilidades no altas reportadas pueden consultarse en las referencias.

Escritura fuera de los límites en WebKit de Apple

Fecha12/03/2025
Importancia4 - Alta
Recursos Afectados

Versiones anteriores a:

  • Safari 18.3.1;
  • iOS 18.3.2 y iPadOS 18.3.2;
  • macOS Sequoia 15.3.2;
  • visionOS 2.3.2.
Descripción

Apple ha publicado una vulnerabilidad de severidad alta que afecta a WebKit en varios de sus sistemas operativos y navegador que de ser explotada podría vulnerar la zona protegida del contenido web.

Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en versiones anteriores a iOS 17.2.

Solución

Actualizar a la última versión disponible.

Detalle

La vulnerabilidad de escritura fuera de límites en el procesamiento de contenido web podría permitir acciones no autorizadas. Los atacantes podrían vulnerar el entorno de pruebas de contenido web mediante contenido web malicioso.

Se ha asignado el identificador CVE-2025-24201 para esta vulnerabilidad.

Omisión de la autenticación en Cray XD670 de HPE

Fecha12/03/2025
Importancia5 - Crítica
Recursos Afectados

HPE Cray XD670 - Antes de BMC v1.19

Descripción

HPE ha publicado una vulnerabilidad de severidad crítica que podría explotarse remotamente para permitir la omisión de la autenticación.

Solución

Descargar el firmware BMC Versión 1.19 (29 de enero de 2025) desde el Centro de soporte de HPE.

Detalle

La vulnerabilidad esta clasificada como crítica ya que podría ser explotada de forma remota y permitir una omisión de la autenticación.

Se ha asignado el identificador CVE-2024-540385 para esta vulnerabilidad.

Escritura fuera de los límites en FreeType

Fecha12/03/2025
Importancia4 - Alta
Recursos Afectados

FreeType, versiones 2.13.0 y anteriores.

Descripción

Se ha reportado una vulnerabilidad de severidad alta en FreeType, cuya explotación podría permitir a un atacante ejecutar código arbitrario.

Esta vulnerabilidad podría estar siendo explotada.

Solución

Se recomiendan los parches para las versiones el 2.13.0. e inferiores de FreeType. Los usuarios deben actualizar a la última versión que solucione esta vulnerabilidad.

Detalle

Existe una escritura fuera de los límites en las versiones 2.13.0 e inferiores de la librería FreeType, al intentar analizar estructuras de subglifos de fuentes relacionadas con archivos de fuentes TrueType GX y variables. El código vulnerable asigna un valor corto con signo a un valor largo sin signo y, a continuación, añade un valor estático que lo envuelve y asigna un búfer de montón demasiado pequeño. A continuación, el código escribe hasta 6 enteros largos con signo fuera de los límites relativos a este búfer.

Los atacantes podrían ejecutar código arbitrario aprovechando la asignación incorrecta del búfer. La vulnerabilidad permite la ejecución remota de código sin requerir la interacción del usuario, comprometiendo potencialmente todo el sistema. La alta gravedad se debe a la capacidad de escribir fuera de los búferes de memoria asignados, lo que puede llevar a comprometer el sistema.

Se ha asignado el identificador CVE-2025-27363 para esta vulnerabilidad.