Microsoft Patch Tuesday corrige el día cero explotado activamente y otras 85 fallas


El martes de parches más reciente incluye una solución para la falla de ejecución remota de código previamente revelada y explotada activamente en MSHTML.

La llegada del segundo martes del mes solo puede significar una cosa en términos de ciberseguridad, Microsoft está implementando parches para vulnerabilidades de seguridad en Home windows y sus otras ofertas. Esta vez, el martes de parches de Microsoft trae soluciones a no menos de 86 lagunas de seguridad, incluida una que se ha revelado previamente y se ha explotado activamente en la naturaleza. Del overall basic, tres fallas de seguridad recibieron la calificación de gravedad más alta de «crítica».

Indexado como CVE-2021-40444, la vulnerabilidad de ejecución remota de código que tiene una calificación de ‘crítica’ en el Escala CVSS, reside en MSHTML, un motor de navegador para Online Explorer también conocido como Trident. Si bien Microsoft lanzó un aviso sobre el día cero explotado activamente, no proporcionó una actualización fuera de banda y optó por solucionarlo como parte del lote de actualizaciones de seguridad de este mes.

“Un atacante podría crear un regulate ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos «. Microsoft dijo, describiendo cómo un atacante podría aprovechar la vulnerabilidad.

Otra vulnerabilidad crítica que merece ser mencionada reside en Open up Management Infrastructure (OMI), un proyecto de código abierto que tiene como objetivo mejorar los estándares de gestión empresarial basada en website. Seguimiento como CVE-2021-38647, la vulnerabilidad de ejecución remota de código obtuvo una «puntuación casi perfecta» de 9,8 sobre 10 en la escala CVSS. De acuerdo con la Titán tecnológico de Redmond, un atacante podría aprovechar la laguna de seguridad enviando un mensaje especialmente diseñado a través de HTTPS a un puerto que escucha OMI en un sistema vulnerable.

Cerrar el trío de fallas de seguridad con una clasificación de críticas es otro mistake de ejecución de código remoto. Indexado como CVE-2021-36965, la vulnerabilidad reside en el componente Home windows WLAN AutoConfig Assistance, que es responsable de conectarse automáticamente a las redes inalámbricas.

Se han lanzado actualizaciones de seguridad para una amplia gama de productos, incluidos Microsoft Place of work, Edge, SharePoint y otros productos de la cartera de Microsoft.

Todas las actualizaciones están disponibles a través de este Catálogo de Microsoft Update para todas las versiones compatibles de Home windows. Tanto los usuarios habituales como los administradores del sistema deberían aplicar los parches tan pronto como sea posible.



Enlace a la noticia primary