El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional (CCN-CERT) ha publicado un aviso respecto a dos vulnerabilidades Zero-Day en la aplicación de correo nativa de iOS, MobileMail o, en su caso, Maild, que afectan a usuarios tanto en iPAD como en iPHONE, que podrían permitir a los atacantes la ejecución de código de forma remota a través del envío de un correo electrónico, especialmente diseñado, al buzón del usuario objetivo.
Estas vulnerabilidades no han recibido identificador CVE (Common Vulnerabilities and Exposures) ni se encuentran registradas en la base de datos del NIST (National Institute of Standards and Technology), por lo que no han sido analizadas ni cuentan con puntuación en base a la escala CVSS v3.
Todas las versiones de iOS a partir de la versión 6 son vulnerables, a excepción de iOS 13.4.5 beta 2 lanzada el pasado 15 de abril. No obstante, se desconoce a ciencia cierta si las versiones anteriores a iOS 6 también se ven afectadas, ya que las investigaciones se interrumpieron en esta.
Por el momento, aunque Apple está trabajando en solucionar la vulnerabilidad a la mayor celeridad, no existe parche disponible. En la versión iOS 13.4.5 beta 2, cuya versión estable aún no se encuentra disponible, se han corregido las vulnerabilidades.
Por el momento, el fabricante no ha publicado medidas de mitigación alternativas mientras se trabaja en un parche para solucionar la vulnerabilidad. No obstante, se recomienda:
Una vez se publique la solución a la vulnerabilidad mediante un parche o lanzamiento de nueva versión del sistema operativo, se deberá instalar, a la mayor brevedad posible, para evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
El CCN-CERT ha publicado un aviso sobre una actualización de seguridad para Microsoft Office.
Al margen de las habituales actualizaciones de seguridad mensuales de Microsoft, la compañía ha lanzado un aviso de seguridad ADV200004 que corrige vulnerabilidades de ejecución remota de código (RCE) en una librería de Autodesk FBX integrada en las aplicaciones de Microsoft Office y Paint 3D.
Microsoft indica que abrir archivos FBX dañinos mediante aplicaciones de Office, podría conducir a la ejecución remota de código y que un atacante podría explotar con éxito estas vulnerabilidades para obtener los mismos derechos de usuario que el usuario local que abra el fichero.
Para solucionar la vulnerabilidad se deben instalar las últimas actualizaciones de seguridad proporcionadas por Microsoft.
Por último, siempre se recomienda encarecidamente a los usuarios (en productos particulares), apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Referencias del documento:
Articulo refundido y modificado por la Subdelegación de Defensa en Valencia.
Artículo publicado en el Boletín de Concienciación del Mando Conjunto de Ciberdefensa.
Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.