Las actualizaciones de seguridad de Microsoft Patch Tuesday para enero de 2024 solucionaron 48 fallas en Microsoft Windows y componentes de Windows; Componentes de Oficina y Oficina; Azur; .NET Framework y Visual Studio; Servidor SQL; Windows Hyper-V; e Internet Explorer. El gigante de TI también solucionó múltiples errores de Chromium, lo que elevó el número total de problemas solucionados a 53, incluidas dos vulnerabilidades críticas.
«Ninguno de los CVE publicados hoy figura como conocido públicamente o bajo ataque activo en el momento de su publicación», informó Zero Day Initiative.
Dos de las vulnerabilidades abordadas se clasifican como críticas, los 47 problemas restantes se clasifican como importantes en cuanto a su gravedad.
Las vulnerabilidades críticas son:
- CVE-2024-20700 (CVSS score: 7.5): Vulnerabilidad de ejecución remota de código de Windows Hyper-V. La explotación exitosa de esta vulnerabilidad requiere que un atacante primero obtenga acceso a la red restringida antes de ejecutar un ataque.
- CVE-2024-20674 (CVSS score: 9.0): Vulnerabilidad de omisión de la función de seguridad Kerberos de Windows. Un atacante no autenticado podría aprovechar esta vulnerabilidad estableciendo un ataque de máquina en el medio (MiTM) u otra técnica de suplantación de red local y luego enviando un mensaje Kerberos malicioso a la máquina cliente víctima para simular ser el servidor de autenticación Kerberos. Un atacante puede aprovechar esta vulnerabilidad solo después de obtener acceso a la red restringida antes de lanzar un ataque. Al investigador de seguridad ldwilmore34 se le atribuye el mérito de descubrir e informar la falla.
Otras fallas notables incluyen CVE-2024-20653 (puntuación CVSS: 7.8), una falla de escalamiento de privilegios que afecta al controlador Common Log File System (CLFS), y CVE-2024-0056 (puntuación CVSS: 8.7), una omisión de seguridad que afecta al system.Data.SqlClient y Microsoft.Data.SqlClient.
Microsoft señaló además que está deshabilitando la capacidad de insertar archivos FBX en Word, Excel, PowerPoint y Outlook en Windows de forma predeterminada debido a una falla de seguridad (CVE-2024-20677, puntuación CVSS: 7.8) que podría conducir a la ejecución remota de código.
Fuente y redacción: segu-info.com.ar