El pasado martes día
8 de octubre, Microsoft liberó un paquete de parches que soluciona un total de
59 vulnerabilidades. 9 de ellas críticas, 49 de gravedad alta y 2 de gravedad
media.
Los principales
productos afectados son Windows, Internet Explorer, Edge, Office, Office
SharePoint, el motor de scripting Chakra y los componentes relacionados con el
sistema de actualizaciones, el protocolo RDP o el servidor de bases de datos
SQL Server.
Por el momento no se
han encontrado evidencias de que alguna de estas vulnerabilidades se esté
explotando activamente en Internet.
La primera de las vulnerabilidades
considerada crítica se encuentra en el componente de Azure y se debe a una
falta de saneamiento de una de las entradas de usuario que permitiría a un
atacante escapar de la Sandbox y ejecutar código arbitrario en el contexto de
NT AUTHORITY\system. Esta vulnerabilidad ha sido etiquetada como CVE-2019-1372.
Otras cuatro
vulnerabilidades críticas en el motor de scripting Chakra permitirían la
ejecución de código arbitrario en el contexto del usuario actual,
principalmente por errores de corrupción de memoria o en el parser MSXML.
CVE-2019-1366, CVE-2019-1060, CVE-2019-1307 y CVE-2019-1308.
Otras dos
vulnerabilidades clasificadas como de gravedad crítica se encuentran en el
componente VBScript y permitirían ejecutar código arbitrario en el contexto del
usuario actual aprovechando corrupciones de la memoria. CVE-2019-1239 y
CVE-2019-1238.
Por último, vale la
pena mencionar otra vulnerabilidad crítica en el cliente RDP de Microsoft
(CVE-2019-1333) que permitiría a un atacante ejecutar código arbitrario en la
máquina de la víctima. Para ello, el atacante tendría que utilizar técnicas de
ingeniería social, realizar ataques Man in the Middle (MITM) o alguna otra
técnica para engañar al usuario y que se conecte al servidor malicioso.
Como siempre, Microsoft
recomienda aplicar las últimas actualizaciones de seguridad.
Más Información:
Security Update Guide
https://portal.msrc.microsoft.com/en-us/security-guidance
Fuente: Hispasec