El pasado martes día 8 de octubre, Microsoft liberó un paquete de parches que soluciona un total de 59 vulnerabilidades. 9 de ellas críticas, 49 de gravedad alta y 2 de gravedad media.
Los principales productos afectados son Windows, Internet Explorer, Edge, Office, Office SharePoint, el motor de scripting Chakra y los componentes relacionados con el sistema de actualizaciones, el protocolo RDP o el servidor de bases de datos SQL Server.
Por el momento no se han encontrado evidencias de que alguna de estas vulnerabilidades se esté explotando activamente en Internet.
La primera de las vulnerabilidades considerada crítica se encuentra en el componente de Azure y se debe a una falta de saneamiento de una de las entradas de usuario que permitiría a un atacante escapar de la Sandbox y ejecutar código arbitrario en el contexto de NT AUTHORITY\system. Esta vulnerabilidad ha sido etiquetada como CVE-2019-1372.
Otras cuatro vulnerabilidades críticas en el motor de scripting Chakra permitirían la ejecución de código arbitrario en el contexto del usuario actual, principalmente por errores de corrupción de memoria o en el parser MSXML. CVE-2019-1366, CVE-2019-1060, CVE-2019-1307 y CVE-2019-1308.
Otras dos vulnerabilidades clasificadas como de gravedad crítica se encuentran en el componente VBScript y permitirían ejecutar código arbitrario en el contexto del usuario actual aprovechando corrupciones de la memoria. CVE-2019-1239 y CVE-2019-1238.
Por último, vale la pena mencionar otra vulnerabilidad crítica en el cliente RDP de Microsoft (CVE-2019-1333) que permitiría a un atacante ejecutar código arbitrario en la máquina de la víctima. Para ello, el atacante tendría que utilizar técnicas de ingeniería social, realizar ataques Man in the Middle (MITM) o alguna otra técnica para engañar al usuario y que se conecte al servidor malicioso.
Como siempre, Microsoft recomienda aplicar las últimas actualizaciones de seguridad.
Más Información: