Microsoft acaba de lanzar su primer Patch Tuesday del año, que soluciona 49 vulnerabilidades de seguridad en Windows y otros productos. 7 son críticas, 40 importantes y 2 de gravedad moderada. Ninguna de ellas ha sido explotada.
Las 7 críticas llevan a la ejecución de código remoto y afectan principalmente a Windows 10 y Server Editions. De ellas, 2 afectan al sistema operativo Hyper-V de Microsoft, impidiendo validar correctamente a un usuario autenticado que entra al sistema como invitado. Y otras 3, afectan al motor de scripting ChackraCore, el que dificulta el manejo correcto de los objetos en la memoria de Edge.
Entre las vulnerabilidades calificadas como importantes, hay una de ejecución remota de código (RCE) en el motor Windows Jet Database, que podría explotarse para ejecutar código arbitrario en un sistema, engañando a la víctima para que abra un archivo malicioso. Otras importantes están en .NET, MS Exchange Server, Edge, Internet Explorer, SharePoint, la suite de Office, Data Sharing Service, Visual Studio, Outlook y Windows Subsystem para Linux.
Un fallo que también destaca es el de fuga de información y ocurre cuando MS Office divulga contenido de su memoria de manera incorrecta. Al explotarlo, un atacante podría obtener información de la memoria y luego usarla para comprometer el equipo o datos de usuario.
Y entre las moderadas, hay una vulnerabilidad de privilegios en Skype para Android, que podría permitir a un ciberdelincuente traspasar la pantalla de bloqueo y acceder a datos personales guardados en un dispositivo Android, simplemente respondiendo un llamada de Skype a ese dispositivo (se requiere acceso físico al mismo).
Microsoft recomienda aplicar su parches lo antes posible. Para hacerlo, se debe seguir la siguiente ruta: Configuración → Actualización y seguridad → Actualización de Windows → Buscar actualizaciones
También es importante descargar una actualización que Microsoft lanzó en diciembre -aparte de su Patch Tuesday de ese mes- y que corrige una vulnerabilidad de corrupción de memoria en Internet Explorer.
En el caso del fallo de Skype para Android, se recomienda actualizar manualmente la aplicación, desde Google Play.
El listado de las CVE se adjunta a continuación:
CVE-2019-0536
CVE-2019-0537
CVE-2019-0538
CVE-2019-0539
CVE-2019-0541
CVE-2019-0543
CVE-2019-0545
CVE-2019-0546
CVE-2019-0547
CVE-2019-0548
CVE-2019-0549
CVE-2019-0550
CVE-2019-0551
CVE-2019-0552
CVE-2019-0553
CVE-2019-0554
CVE-2019-0555
CVE-2019-0556
CVE-2019-0557
CVE-2019-0558
CVE-2019-0559
CVE-2019-0560
CVE-2019-0561
CVE-2019-0562
CVE-2019-0564
CVE-2019-0565
CVE-2019-0566
CVE-2019-0567
CVE-2019-0568
CVE-2019-0569
CVE-2019-0570
CVE-2019-0571
CVE-2019-0572
CVE-2019-0573
CVE-2019-0574
CVE-2019-0575
CVE-2019-0576
CVE-2019-0577
CVE-2019-0578
CVE-2019-0579
CVE-2019-0580
CVE-2019-0581
CVE-2019-0582
CVE-2019-0583
CVE-2019-0584
CVE-2019-0585
CVE-2019-0586
CVE-2019-0588
CVE-2019-0622
| Producto | Versión |
|---|---|
| Microsoft Visual Studio |
- |
| Microsoft Edge |
- |
| Internet Explorer |
- |
| ASP.NET |
- |
| ChakraCore |
- |
| Microsoft Office Services and Web Apps |
- |
| .NET Framework |
- |
| Microsoft Exchange Server |
- |
| Adobe Flash Player |
32.0.0.101 |
| Microsoft Office |
2010 2012 2016 |
| Microsoft Windows |
- |