Vulnerabilidad de día cero en la biblioteca de registro de Apache Java Log4j

CVE-2021-44228

Se ha descubierto una vulnerabilidad de día cero en la biblioteca de registro de Apache Java Log4j (CVE-2021-44228). También se ha publicado un exploit de prueba de concepto. La explotación exitosa podría permitir a un atacante obtener el control total de los servidores afectados.

Recursos afectados: Administradores de sistemas que utilizan versiones de Apache Log4j entre 2.0 y 2.14.1

Recomendaciones: actualizar a la última versión 2.15.0 inmediatamente. El parche está disponible para descargar aquí: https://logging.apache.org/log4j/2.x/download.html

Vulnerabilidad en el portapapeles en la nube de Windows 10 puede haber registrado datos confidenciales del usuario

CVE-2021-38505

Microsoft introdujo una nueva función en Windows 10 conocida como Portapapeles en la nube que, si está habilitada, registrará los datos copiados en el portapapeles en la nube y los hará disponibles en otras computadoras en ciertos escenarios. Las aplicaciones que deseen evitar que los datos copiados se registren en Cloud History deben usar formatos de portapapeles específicos; y Firefox antes de las versiones 94 y ESR 91.3 no los implementó. Esto podría haber provocado que se registraran datos confidenciales en la cuenta de Microsoft de un usuario.

Recursos afectados: Firefox para Windows 10+ con Cloud Clipboard habilitado. Otros sistemas operativos no se ven afectados.

Recomendaciones: actualizar a la última versión. https://bugzilla.mozilla.org/show_bug.cgi?id=1730194

Vulnerabilidad criptográfica en smartphones Huawei

CCVE-2021-37063 y CVE-2021-37084

Vulnerabilidad de problemas criptográficos en el teléfono inteligente Huawei. La explotación exitosa de esta vulnerabilidad puede llevar a leer y eliminar imágenes de los dispositivos.

Vulnerabilidad de validación de entrada incorrecta en el teléfono inteligente Huawei. La explotación exitosa de esta vulnerabilidad puede llevar a la invocación malintencionada de otras funciones del Asistente inteligente a través de mensajes de texto.

Recursos afectados: Dispositivos Huawei con HarmonyOS

Recomendaciones: actualizar a la última versión inmediatamente. El parche está disponible para descargar aquí: https://device.harmonyos.com/en/docs/security/update/security-bulletins-202109-0000001196270727

Vulnerabilidad crítica en WhatsApp

CCVE-2021-24041

Una verificación de límites faltantes en el código de desenfoque de imagen antes de WhatsApp y WhatsApp Business podría haber permitido una escritura fuera de límites si un usuario envió una imagen maliciosa.

Recursos afectados: Dispositivos Android v2.21.22.7 y Android v2.21.22.7.

Recomendaciones: actualizar a la última versión.

Vulnerabilidad en DevTools de Google Chrome

CVE-2021-30571

Se ha descubierto una vulnerabilidad de día cero en la biblioteca La aplicación de políticas insuficiente en DevTools en Google Chrome antes de 92.0.4515.107 permitió a un atacante que convenció a un usuario de que instalara una extensión maliciosa para realizar potencialmente un escape de la zona de pruebas a través de una página HTML diseñada.

Recursos afectados: Administradores de sistemas que utilizan versiones de Google Chrome antes de 92.0.4515.107.

Recomendaciones: actualizar a la última versión. El parche está disponible para descargar aquí: https://chromereleases.googleblog.com/2021/07/stable-channel-update-for-desktop_20.html

Vulnerabilidad de descargas en Google Chrome

CVE-2021-21150

Se ha descubierto una vulnerabilidad al usar Descargas en Google Chrome en Windows permitía a un atacante remoto que había comprometido el proceso de renderizado potencialmente realizar un escape de la zona de pruebas a través de una página HTML diseñada.

Recursos afectados: Administradores de sistemas que utilizan versiones de Google Chrome en Windows antes de 88.0.4324.182.

Recomendaciones: actualizar a la última versión. El parche está disponible para descargar aquí: https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_16.html