Microsoft ha liberado el tradicional parche de actualizaciones de seguridad que ve la luz el segundo martes de cada mes. En este caso, estamos ante el June 2019 Patch Tuesday correspondiente al mes de junio. Como siempre, este aplica tanto a las diferentes versiones de Windows con soporte como a Office y otros productos de la compañía con sede en Redmond.
En total, Microsoft ha corregido 88 vulnerabilidades que han afectado a los sistemas operativos Windows 7, Windows 8.1 y Windows 10, incluyendo el mencionado Windows 10 May 2019 Update, sin olvidar otros productos como la suite ofimática Microsoft Office, Internet Explorer, Microsoft Edge y más.
En ella se solucionan cuatro de las últimas elevaciones de privilegios publicadas por SandBoxEscaper, y dejan la última sin solucionar. Estas son las únicas cuatro vulnerabilidades que se reconocen como previamente públicas.
De total de vulnerabilidades solucionadas, 21 de ellas han sido catalogadas como críticas. Entre esas críticas, 17 de las 21 afectan a los navegadores Internet Explorer y Microsoft Edge, por lo que constituyen un riesgo importante para la seguridad que nos obliga a actualizar cuanto antes.
El repaso de las vulnerabilidades nos hace fijarnos en otras 3 críticas relacionadas con Hyper-V que permiten a cualquier usuario saltarse la capa de virtualización del sistema operativo y ejecutar código en la memoria real del sistema. La última vulnerabilidad crítica es un fallo en la API de Microsoft Speech que permitía también ejecutar código en el sistema.
En Windows 7 se han corregido 42 vulnerabilidades, 3 de ellas críticas y 39 importantes. En Windows 8.1 se han corregido 35 vulnerabilidades, 3 de ellas críticas y 32 importantes. En Windows 10 depende de la versión.
En la versión 1803 se han corregido 45 vulnerabilidades, 3 de ellas críticas y 43 importantes. En la versión 1809 han sido 47 vulnerabilidades, 3 de ellas críticas y 44 importantes mientras que en la Versión 1903 un total de 42 vulnerabilidades, 3 de ellas críticas y 39 importantes.
Estos parches bloquean por seguridad algunos dispositivos Bluetooth no seguros como las llaves de seguridad FIDO. Esto es debido a un fallo en su seguridad que podía poner en riesgo a los usuarios. Si las utilizamos, debemos dejar de hacerlo de inmediato y optar por otro método de doble autenticación.
Es interesante destacar que se han solucionado hasta 18 fallos de elevación de privilegios además de los públicos y conocidos en las últimas semanas: uno en DirectX, otros dos en Win32k, otro en ALPC (la «especialidad» de SandBoxEscaper), 6 en el servicio de audio, dos en el sistema de logs, dos en el kernel, uno en el network file system, dos en el servicio de almacenamiento y otro en el servicio de perfiles.