Microsoft Patch Tuesday corrige 13 vulnerabilidades críticas

10 Abril 2019
Crítico

El tradicional parche que lanza Microsoft los segundos martes de cada mes, corrige esta vez 13 vulnerabilidades críticas, de las cuales 2 están siendo explotadas activamente. También soluciona 61 fallos calificados como importantes.

Las dos más graves permiten escalar privilegios. Si el atacante tiene éxito, puede crear nuevas cuentas como usuario administrador y con ello, instalar programas y manipular datos, entre otros.

También hay un fallo de ejecución remota de código (RCE) en el componente GDI+ que utilizan varios softwares de Office. Otro de fuga de información en el protocolo TCP/IP de Windows, debido a un manejo incorrecto de los paquetes de IP fragmentados, que podría exponer datos como el token SAS y los ID’s de recursos.

Adobe también lanzó 8 parches para Acrobat y Reader, Adobe Digital Editions, Flash, Bridge CC, XD CC, Shockwave, InDesign, Dreamweaver y Experience Manager. El de InDesign corrige un error crítico de procesamiento de hipervínculos que podría permitir la ejecución de código remoto (RCE). Otros críticos son los de Acrobat y Reader, que también llevan a RCE.

Otras vulnerabilidades importantes son de cross-site scripting (XSS), spoofing y denegación de servicio (DoS).

Se recomienda lo siguiente:

- Aplicar los parches de Microsoft lo antes posible. Para instalar las actualizaciones  se debe seguir la siguiente ruta: Configuración → Actualización y seguridad → Actualización de Windows → Buscar actualizaciones

- En el caso de Windows 10, éste desinstala automáticamente las actualizaciones anteriores con problemas, por lo que al actualizar en este sistema, puede aparecer el aviso "Eliminamos algunas actualizaciones instaladas recientemente para recuperar su dispositivo de un fallo de inicio".

- En cuanto a Adobe, también se deben actualizar los softwares afectados a sus últimas versiones.

El listado de las CVE se adjunta a continuación:


Tags: #patchtuesday #microsoft #windows #rce #adobe #acrobat #reader
  • Productos Afectados
  • Producto Versión
    Microsoft Office -
    Adobe Acrobat and Reader
    Shockwave
    Digital Editions
    Flash
    Bridge CC
    XD CC
    InDesign
    Dreamweaver
    Experience Manager Forms
    Internet Explorer 10
    11
    Microsoft ChakraCore Scripting Engine
    XML Core Services
    SMB Server
    Exchange Server
    .NET Framework and ASP.NET
    Skype for Business
    Azure DevOps Server
    Open Enclave SDK
    Team Foundation Server
    Visual Studio
    Microsoft Windows Server 2008
    2008 R2
    2012
    2012 R2
    2016
    2019
    Microsoft Windows 7
    8
    8.1
    10
    Microsoft Edge -


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.