Microsoft Patch Tuesday de enero soluciona 7 vulnerabilidades críticas

09 Enero 2019
Crítico

Microsoft acaba de lanzar su primer Patch Tuesday del año, que soluciona 49 vulnerabilidades de seguridad en Windows y otros productos. 7 son críticas, 40 importantes y 2 de gravedad moderada. Ninguna de ellas ha sido explotada.

Las 7 críticas llevan a la ejecución de código remoto y afectan principalmente a Windows 10 y Server Editions. De ellas, 2 afectan al sistema operativo Hyper-V de Microsoft, impidiendo validar correctamente a un usuario autenticado que entra al sistema como invitado. Y otras 3, afectan al motor de scripting ChackraCore, el que dificulta el manejo correcto de los objetos en la memoria de Edge.

Entre las vulnerabilidades calificadas como importantes, hay una de ejecución remota de código (RCE) en el motor Windows Jet Database, que podría explotarse para ejecutar código arbitrario en un sistema, engañando a la víctima para que abra un archivo malicioso. Otras importantes están en .NET, MS Exchange Server, Edge, Internet Explorer, SharePoint, la suite de Office, Data Sharing Service, Visual Studio, Outlook y Windows Subsystem para Linux.

Un fallo que también destaca es el de fuga de información y ocurre cuando MS Office divulga contenido de su memoria de manera incorrecta. Al explotarlo, un atacante podría obtener información de la memoria y luego usarla para comprometer el equipo o datos de usuario.

Y entre las moderadas, hay una vulnerabilidad de privilegios en Skype para Android, que podría permitir a un ciberdelincuente traspasar la pantalla de bloqueo y acceder a datos personales guardados en un dispositivo Android, simplemente respondiendo un llamada de Skype a ese dispositivo (se requiere acceso físico al mismo).

Microsoft recomienda aplicar su parches lo antes posible. Para hacerlo, se debe seguir la siguiente ruta: Configuración → Actualización y seguridad → Actualización de Windows → Buscar actualizaciones

También es importante descargar una actualización que Microsoft lanzó en diciembre -aparte de su Patch Tuesday de ese mes- y que corrige una vulnerabilidad de corrupción de memoria en Internet Explorer.

En el caso del fallo de Skype para Android, se recomienda actualizar manualmente la aplicación, desde Google Play.

El listado de las CVE se adjunta a continuación:


Tags: #microsoft #patch #tuesday #adobe #explorer #office #flash #chakracore #edge #visualstudio


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.