Actualizaciones de seguridad de diciembre para todas las empresas

Este martes de parches de diciembre de 2024 de Microsoft incluye actualizaciones de seguridad para 71 fallas, incluida una vulnerabilidad Zero-Day explotada activamente.

Este martes de parches corrigió dieciséis vulnerabilidades críticas, todas las cuales son fallas de ejecución de código remoto. A continuación, se detalla la cantidad de errores en cada categoría de vulnerabilidad:

27 vulnerabilidades de elevación de privilegios
30 vulnerabilidades de ejecución de código remoto
7 vulnerabilidades de divulgación de información
5 vulnerabilidades de denegación de servicio
1 vulnerabilidad de suplantación de identidad

Este recuento no incluye dos fallas de Edge que se solucionaron previamente el 5 y el 6 de diciembre.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, puede revisar nuestros artículos dedicados a las actualizaciones acumulativas KB5048667 y KB5048685 de Windows 11 y la actualización acumulativa KB5048652 de Windows 10.

El parche del martes de este mes corrige una vulnerabilidad Zero-Day explotada activamente y divulgada públicamente:

CVE-2024-49138: vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro común de Windows que permite a los atacantes obtener privilegios de SYSTEM. No se ha publicado información sobre cómo se explotó la falla en los ataques.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en diciembre de 2024 incluyen:

Adobe released security updates for numerous products, including Photoshop, Commerce, Illustrator, InDesign, After Effects, Bridge, and more.
CISA released advisories on industrial control system vulnerabilities in MOBATIME, Schneider Electric, National Instruments, Horner Automation, Rockwell Automation, and Ruijie.
Cleo security file transfer is impacted by an actively exploited zero-day used in data theft attacks.
Cisco releases security updates for multiple products, including Cisco NX-OS and Cisco ASA.
IO-Data zero-day router flaws exploited in attacks to take over devices.
0patch released an unofficial patch for a Windows zero-day vulnerability that allows attackers to capture NTLM credentials.
OpenWrt releases security updates for a Sysupgrade flaw that allowed attackers to distribute malicious firmware images.
SAP releases security updates for multiple products as part of December Patch Day.
Veeam released security updates for a critical RCE bug in Service Provider Console.

Fuente y redacción: segu-info.com.ar

Actualizaciones recientes de otras empresas

Una empresa de ciberseguridad promete pagar 1 millón de dólares a quien logre hackear WhatsApp o iMessage

La falla que afecta a millones de dispositivos de Cisco permite a los atacantes implantar una puerta trasera persistente

Por qué las contraseñas que nunca caducan pueden ser una decisión arriesgada