Instituto Nacional de ciberseguridad. Sección Incibe

Un nuevo aviso de seguridad y una actualización

Índice

  • [Actualización 01/04/2025] Múltiples vulnerabilidades en productos Fortinet
  • Múltiples vulnerabilidades en productos Apple

[Actualización 01/04/2025] Múltiples vulnerabilidades en productos Fortinet

Fecha15/01/2025
Importancia5 - Crítica
Recursos Afectados
  • FortiOS:
    • desde 7.00 hasta 7.0.16.
  • FortiProxy:
    • desde 7.0.0 hasta 7.0.19.
    • desde 7.2.0 hasta 7.2.12.
  • FortiSwitch:
    • desde 6.0.0 hasta 6.0.7.
    • desde 6.2.0 hasta 6.2.7.
    • desde 6.4.0 hasta 6.4.13.
    • desde 7.0.0 hasta 7.0.7.
    • desde 7.2.0 hasta 7.2.5.
    • 7.4.0
Descripción

Fortinet ha publicado 2 vulnerabilidades de severidad crítica que afectan a FortiOS, FortiProxy y FortiSwitch, y cuya explotación podría permitir a un atacante remoto obtener privilegios o ejecutar código no autorizado.

En el momento de la divulgación de este aviso, el fabricante tiene conocimiento de que la vulnerabilidad crítica CVE-2024-55591 está siendo explotada.

Solución
  • FortiOS:
    • actualizar a la versión 7.0.17 o superior.
  • FortiProxy:
    • actualizar a la versión 7.0.20 o superior.
    • actualizar a la versión 7.2.13 o superior.
  • FortiSwitch:
    • migrar a una versión correctora.
    • actualizar a la versión 6.2.8 o superior.
    • actualizar a la versión 6.4.14 o superior.
    • actualizar a la versión 7.0.8 o superior.
    • actualizar a la versión 7.2.6 o superior.
    • actualizar a la versión 7.4.1 o superior.
Detalle
  • Una vulnerabilidad de omisión de autenticación, mediante una ruta o canal alternativo, podría permitir a un atacante remoto obtener privilegios de superadministrador a través de solicitudes manipuladas al módulo websocket de Node.js. Se ha asignado el identificador CVE-2024-55591 para esta vulnerabilidad.
  • Vulnerabilidad de uso de clave criptográfica codificada podría permitir a un atacante remoto no autenticado, en posesión de la clave, ejecutar código no autorizado a través de peticiones criptográficas manipuladas. Se ha asignado el identificador CVE-2023-37936 para esta vulnerabilidad.

Múltiples vulnerabilidades en productos Apple

Fecha01/04/2025
Importancia5 - Crítica
Recursos Afectados
  • Safari, versiones anteriores a la 18.4;
  • Xcode, versiones anteriores a la 16.3;
  • iOS, versiones anteriores a:
    • 18.4;
    • 16.7.11;
    • 15.8.4;
  • iPadOS, versiones anteriores a:
    • 18.4;
    • 16.7.11;
    • 15.8.4;
  • macOS Sequoia, versiones anteriores a 15.4;
  • macOS Sonoma, versiones anteriores a 14.7.5;
  • macOS Ventura, versiones anteriores a 13.7.5;
  • tvOS, versiones anteriores a 18.4;
  • visionOS, versiones anteriores a 2.4.
Descripción

Apple ha identificado y corregido múltiples vulnerabilidades que afectan a varios de sus sistemas. Varias de las vulnerabilidades resueltas son críticas y, entre otras acciones, podrían revelar información sensible, permitir la ejecución de código arbitrario o finalizar la ejecución del sistema.

Hay sospechas de que algunas de estas vulnerabilidades estén siendo explotadas, por lo que se recomienda actualizar los productos con la mayor brevedad posible.

Solución

Actualizar a las últimas versiones de los productos:

  • Safari 18.4.
  • Xcode 16.3.
  • iOS, versiones:
    • 18.4;
    • 16.7.11;
    • 15.8.4.
  • iPadOS, versiones:
    • 18.4;
    • 16.7.11;
    • 15.8.4.
  • macOS Sequoia 15.4.
  • macOS Sonoma 14.7.5.
  • macOS Ventura 13.7.5.
  • tvOS 18.4.
  • visionOS 2.4.
Detalle

Para cada producto las actualizaciones realizadas han sido:

  • Safari 18.4: disponible en macOS Ventura y macOS Sonoma. Se han resuelto un total de 13 vulnerabilidades que afectan al producto o alguno de sus componentes como WebKit.
  • Xcode 16.3: disponible en macOS Sequoia. Se han resuelto 2 vulnerabilidades, ninguna de ellas crítica.
  • iOS 18.4 e iPadOS18.4:  disponible en iPhone XS y posteriores, iPad Pro 13 pulgadas, iPad Pro 12.9 pulgadas 3ª generación y posteriores iPad Pro 11 pulgadas 1ª generación y posteriores, iPad Air 3ª generación y posteriores, iPad 7ª generación y posteriores, e iPad mini 5ª generación y posteriores. Se han resuelto 60 vulnerabilidades que afectan a diferentes componentes y librerías del producto como, Safari, WebKit, Siri, Servicios de Autenticación, etc.
  • iPadOS 17.7.6: disponible en iPad Pro 12.9 pulgadas 2ª generación, iPad Pro 10.5 pulgadas e iPad 6ª generación. Se han resuelto 35 vulnerabilidades que afectan a diferentes componentes y librerías del producto como Safari, WebKit, Siri, Photos, etc.
  • iOS 16.7.11 e iPadOS 16.7.11: disponible en Phone 8, iPhone 8 Plus, iPhone X, iPad 5ª generación, iPad Pro 9.7 pulgadas e iPad Pro 12.9 pulgadas 1ª generación. Se han resuelto 2 vulnerabilidades, ninguna de ellas crítica.
  • iOS 15.8.4 e iPadOS 15.8.4:  disponible en iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1ª generación), iPad Air 2, iPad mini (4ª generación) e iPod touch (7ª generación). Se han resuelto 2 vulnerabilidades, ninguna de ellas crítica.
  • macOS Sequoia 15.4: disponible en macOS Sequoia. Se han resuelto 139 vulnerabilidades que afectan a diferentes componentes y librerías del producto como Safari, WebKit, Siri el Kernel, etc.
  • macOS Sonoma 14.7.5: disponible en macOS Sonoma. Se han resuelto 95 vulnerabilidades que afectan a diferentes componentes y librerías del producto como el Kernel, Siri, Sandbox, CoreMedia, etc.
  • macOS Ventura 13.7.5: disponible en macOS Ventura. Se han resuelto 85 vulnerabilidades que afectan a diferentes componentes y librerías del producto como el Kernel, Siri, Sandbox, CoreMedia, etc.
  • tv OS 18.4: disponible en  Apple TV HD y Apple TV 4K (todos los modelos). Se han resuelto 42 vulnerabilidades que afectan a diferentes componentes y librerías del producto como Siri, WebKit, CoreMedia, etc.
  • visionOS 2.4: disponible en Apple Vision Pro. Se han resuelto 44 vulnerabilidades que afectan a diferentes componentes y librerías del producto como Safari, Siri, WebKit, CoreMedia, etc.

Puede obtener más información de las actualizaciones de cada producto en los enlaces de las referencias.