Patch Tuesday Microsoft corrige 74 vulnerabilidades

13 Noviembre 2019
Crítico

Microsoft lanzó una actualización de seguridad para noviembre que corrigen 74 vulnerabilidades de seguridad que afectan a varios productos de Microsoft. Dentro de las fallas encontradas, 13 están marcadas con gravedad "crítica".

Microsoft corrige una vulnerabilidad Zero-day de código de ejecución remota (RCE) en Internet Explorer (CVE-2019-1429) que reside en el motor de secuencias de comandos que maneja los objetos en la memoria y que se sigue explotando activamente en general. Si los atacantes explotan con éxito la vulnerabilidad, podrían corromper la memoria y ejecutar código arbitrario en el contexto del usuario actual.

Microsoft también corrigió varias vulnerabilidades críticas de código de ejecución remota (CVE-2019-1373) en Microsoft Exchange. Y al igual que la anterior descrita, un atacante que aprovecha la vulnerabilidad con éxito podría ejecutar código arbitrario en el contexto del usuario conectado.

Es importante que los sistemas afectados se reparen lo más rápido posible debido a los riesgos elevados asociados con vulnerabilidades problemáticas como estas. La descarga de estos parches se puede encontrar en la Guía de actualización de seguridad de Microsoft.

Se recomienda lo siguiente: 

  • Instalar las actualizaciones disponibles por Microsoft inmediatamente después de las pruebas apropiadas.
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • En un ambiente de laboratorio se recomienda realizar la instalación del parche en un servidor de prueba para ver el comportamiento de la máquina y así, no perjudicar la continuidad de la operación.

El listado de las CVE se adjunta a continuación:


Tags: #Microsoft #Patch #Tuesday #Vulnerabilidades #Windows


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.