El último parche de seguridad de Microsoft resuelve 36 vulnerabilidades críticas


Imagen de TheDigitalWay en Pixabay

Ayer llegaba puntual como cada mes el parche de seguridad de Microsoft. No ofrece nuevas características solo errores corregidos y problemas de seguridad. Este parche cobra mayor relevancia si os decimos que corrige 36 vulnerabilidades, una de ellas un parche Zero Day.

Las vulnerabilidades ahora corregidas de Windows 10

“Existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar correctamente los objetos en la memoria”, dijo Microsoft en un aviso de seguridad hoy en día.

“Un atacante que haya explotado con éxito esta vulnerabilidad podría ejecutar código arbitrario en modo kernel,” indicaban. “Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con derechos de usuario completos.”

Esta vulnerabilidad se ha descubierto gracias a los investigadores de seguridad de Kaspersky Lab el descubrimiento del Zero Day, que se ha registrado como CVE-2019-1458.

Dustin Childs, miembro de la Zero Day Initiative (ZDI) de Trend Micro, cree que este Zero Day de Windows está conectado a un día cero que Google parcheó en Chrome a finales de octubre (conocido como, CVE-2019-13720).
[Kaspersky] informó de un UAF en Chrome que estaba bajo explotación activa, dijo Childs. “Cuando ese error [Chrome] se hizo público, se especuló que se estaba emparejando con un error del kernel de Windows para escapar del sandbox.

“Aunque no se ha confirmado que este parche esté conectado a esos ataques de Chrome, este es el tipo de error que se usaría para realizar un escape de sandbox”, agregó.

Según Kaspersky, el chrome zero-day estaba siendo utilizado por un grupo de hackers llamado WizardOpium para atraer a los usuarios en sitios maliciosos, donde utilizarían el Zero Day de Chrome para infectar con malware.

Después de la publicación de este artículo, Kaspersky confirmó la teoría de Childs en una entrada de blog que vinculó oficialmente los dos ataques Zero Day.
Los otros errores

En total, Microsoft solucionó 36 errores de seguridad este mes, de los cuales solo siete fueron calificados como críticos. Esta es la actualización más pequeña del Martes de parches de Microsoft este año, y una de las más ligeras de los últimos tres años.

Otros errores importantes parcheados este mes que pueden suponer un riesgo grave de ser utilizado en campañas de malware o ataques dirigidos son CVE-2019-1468 (una ejecución remota de código en el componente Win32k) y CVE-2019-1471 (un error de ejecución remota de código en Windows Hyper-V conjunto de herramientas de virtualización).

Además de Windows, otros productos que recibieron correcciones incluyen SQL Server, Visual Studio, Skype Empresarial, Microsoft Office y Microsoft Office Services y Web Apps.

 

 

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies