Microsoft parchea dos
vulnerabilidades, una de ellas es un 0-day en Internet Explorer que está siendo
explotado activamente en estos momentos.
La primera
vulnerabilidad, descubierta por el investigador Clément Lecigne y con
identificador CVE-2019-1367 consiste en una ejecución remota de código
localizada en la lógica usada por el motor Microsoft Scripting Engine para
manipular objetos en memoria.
Esta vulnerabilidad
permitiría a un atacante hacerse con el control de la máquina víctima mediante
la visita a una web especialmente diseñada usando Internet Explorer.
Además, Microsoft
también ha lanzado otro parche para una denegación de servicio en Windows
Defender.
Ésta última,
descubierta por el investigador de F-Secure Charalampos Billinis y Wenxu Wu de
la firma Security Labs, tiene asignado el identificador CVE-2019-1255.
Según Microsoft, esta
vulnerabilidad puede ser aprovechada por un atacante para impedir a un usuario
ejecutar binarios. Aunque para aprovechar esta falla, es necesario primero
adquirir permisos de ejecución en la máquina.
La primera falla
afecta a las versiones 9, 10 y 11 del navegador mientras que la vulnerabilidad
en Microsoft Defender afecta a las versiones anteriores a 1.1.16400.1. Como es
habitual, se recomienda aplicar las actualizaciones lo más pronto posible.
Más Información:
Fuente: Hispasec