Microsoft ha emitido su primer parche de este año para abordar 49 vulnerabilidades de seguridad incluidas en CVE en sus sistemas operativos Windows y otros productos, 7 de los cuales están calificados como críticos, 40 importantes y 2 de gravedad moderada.

Solo una de las vulnerabilidades de seguridad parcheadas por el gigante tecnológico este mes ha sido informada públicamente en el momento de su lanzamiento, y ninguna está siendo explotada activamente en la naturaleza.

Las siete vulnerabilidades de calificación crítica llevan a la ejecución remota de código y afectan principalmente a varias versiones de Windows 10 y las ediciones Server.

Dos de los 7 defectos críticos afectan al sistema operativo Hyper-V de Microsoft que no logra validar correctamente la entrada de un usuario autenticado en un sistema operativo invitado, tres afectan al motor de scripts ChakraCore que no maneja correctamente los objetos en la memoria en Edge, uno afecta directamente a Edge eso ocurre cuando el navegador maneja incorrectamente los objetos en la memoria, y uno afecta el cliente DHCP de Windows que no puede manejar adecuadamente ciertas respuestas DHCP.

La falla divulgada públicamente pero no explotada en la naturaleza, identificada como CVE-2019-0579 y clasificada como importante, se refiere a una vulnerabilidad de ejecución remota de código (RCE) en el motor de la base de datos Windows Jet que podría explotarse para ejecutar código arbitrario en el sistema de una víctima engañándolo para que abra un archivo especialmente diseñado.

Otras vulnerabilidades «importantes» se tratan en el marco .NET, MS Exchange Server, Edge, Internet Explorer, SharePoint, el conjunto de aplicaciones de Office, el servicio de intercambio de datos de Windows, Visual Studio, Outlook y el subsistema de Windows para Linux.

Una de las fallas de MS Office parchadas este mes es un error de divulgación de información (CVE-2019-0560) que existe cuando Microsoft Office divulga incorrectamente el contenido de su memoria.

Los atacantes pueden aprovechar esta vulnerabilidad engañando a un usuario para que abra un documento de Office especialmente diseñado. La explotación exitosa podría permitir a un atacante obtener información de la memoria de Office que luego se puede usar para comprometer la computadora o los datos de la víctima.

Microsoft le dio crédito a Tal Dery y Menahem Breuer de Mimecast Research Labs por esta vulnerabilidad. Para conocer más detalles sobre sus hallazgos, puede dirigirse a un aviso y a una publicación de blog publicada por Mimecast.

Bloqueo de error de omisión de la pantalla en Skype para Android también parcheado

Otro error notable parcheado por Microsoft este mes es una vulnerabilidad de vulnerabilidad de privilegio (CVE-2019-0622) en Skype para Android que podría haber permitido a los piratas informáticos pasar por alto la pantalla de bloqueo y acceder a datos personales en un dispositivo Android, simplemente respondiendo una llamada de Skype a ese dispositivo.

La falla de Skype ha sido clasificada como ‘moderada’ y requiere que un atacante tenga acceso físico a su dispositivo. Se incluyó un parche para esta vulnerabilidad en la versión de Skype del 23 de diciembre, pero los usuarios de Skype para Android deben actualizar manualmente la aplicación desde Google Play.

Aunque Microsoft no menciona esto como público, el investigador publicó un video de YouTube que demuestra la vulnerabilidad el 31 de diciembre.

Aunque no forma parte de la actualización del parche de este mes, también se recomienda a los usuarios descargar la última actualización para parchar una vulnerabilidad de corrupción de memoria (CVE). -2018-8653) en Internet Explorer que Microsoft abordó al lanzar un parche fuera de banda en diciembre, ya que la falla continúa siendo explotada en la naturaleza.

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad lo antes posible para evitar que los piratas informáticos y los delincuentes cibernéticos tomen el control de sus sistemas.

Para instalar las actualizaciones de parches de seguridad más recientes, diríjase a Configuración → Actualización y seguridad → Actualización de Windows → Buscar actualizaciones en su sistema informático o puede instalar las actualizaciones manualmente.

Fuente: Thehackernews.com

Compartir