Los parches de diciembre de 2023 de Microsoft, vio el lanzamiento de actualizaciones de seguridad que abordan un total de 34 vulnerabilidades, incluida una falla previamente revelada, pero sin parchear en las CPU AMD. Del total, ocho fueron errores de ejecución remota de código (RCE), de los cuales tres se consideraron críticos.
En total, cuatro vulnerabilidades fueron clasificadas como críticas. Estas incluyeron una vulnerabilidad de suplantación de identidad en Power Platform, dos vulnerabilidades RCE en Conexión compartida a Internet y una vulnerabilidad RCE en la plataforma MSHTML de Windows. El recuento total de 34 fallos no tiene en cuenta los ocho fallos de Microsoft Edge que se rectificaron el 7 de diciembre.
Puede encontrar información completa sobre las actualizaciones no relacionadas con la seguridad publicadas ese día en artículos dedicados a la nueva actualización acumulativa KB5033375 de Windows 11 y la actualización acumulativa KB5033372 de Windows 10.
El martes de parches de este mes también abordó una vulnerabilidad de día cero de AMD, conocida como ‘CVE-2023-20588 – AMD: CVE-2023-20588 AMD Speculative Leaks’, que se reveló en agosto pero que no se ha parcheado hasta ahora. Este error de división por cero, que se encuentra en ciertos procesadores AMD, podría potencialmente filtrar datos confidenciales.
AMD no había proporcionado ninguna solución para esta falla, aparte de recomendar estrategias de mitigación. Según un boletín de AMD sobre CVE-2023-20588, ‘Para los productos afectados, AMD recomienda seguir las mejores prácticas de desarrollo de software. Los desarrolladores pueden mitigar este problema asegurándose de que no se utilicen datos privilegiados en las operaciones de división antes de cambiar los límites de los privilegios. AMD cree que el impacto potencial de esta vulnerabilidad es bajo porque requiere acceso local.’
Como parte de las actualizaciones del martes de parches de diciembre, Microsoft ha lanzado una actualización de seguridad que resuelve este error en los procesadores AMD afectados.
Fuente y redacción: underc0de.org
