Patch Tuesday Microsoft de Abril corrige 113 vulnerabilidades

15 Abril 2020
Crítico

El Microsoft Patch Tuesday de este mes resuelve 113 vulnerabilidades, de las cuales 19 están etiquetadas como críticas. las restantes se consideran importantes. Las fallas abordadas por Microsoft este mes afectan a Windows, Edge, Internet Explorer, Office, Windows Defender, Dynamics, aplicaciones para Android y Mac, y otros productos. 

Entre las vulnerabilidades más destacadas se reportaron tres problemas dia cero de Windows que han sido explotadas activamente.

CVE-2020-1020: Una vulnerabilidad en la Biblioteca Adobe Type Manager de Windows permite al atacante ejecutar código en sistemas vulnerables. Los ataques se pueden ejecutar de forma remota. El día cero no afecta a Windows 10. Los detalles sobre este día cero se hicieron públicos el mes pasado, pero este Martes se lanzó un parche.

CVE-2020-0938: Este es un segundo error en la misma biblioteca de Windows Adobe Type Manager. Error algo similar al anterior, pero su existencia se reveló solo este martes, a diferencia del primero. Las mitigaciones de Microsoft publicadas el mes pasado, al ser aplicadas, también bloquearon los ataques que explotan este segundo error.

CVE-2020-1027: Una vulnerabilidad de elevación de privilegios en la forma en que el kernel de Windows trata los objetos en la memoria. Un atacante que explotara la vulnerabilidad con éxito podría ejecutar código con permisos elevados. 

CVE-2020-0968: Inicialmente informado por Microsoft como otro día cero, pero corregido poco después, Un error en Internet Explorer de secuencias de comandos del motor puede permitir a un atacante tomar el control de un sistema afectado. El error se considera crítico para los sistemas cliente de Windows y moderado para los sistemas operativos Windows Server debido a las protecciones integradas. Este error no ha sido explotado antes, por lo tanto, no es un día cero. 

Destacar que Microsoft ha visto un aumento del 44% en el número de CVE parcheados entre enero y abril de 2020 en comparación con el mismo período de tiempo en 2019.

Se recomienda lo siguiente:

  • Instalar las actualizaciones disponibles por Microsoft inmediatamente después de las pruebas apropiadas, con prioridad para las vulnerabilidades críticas. Comenzando con sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Los clientes que ejecutan Windows 7, Windows Server 2008 R2 o Windows Server 2008 pueden comprar la “Actualización de seguridad extendida” para continuar recibiendo actualizaciones de seguridad. Consulte https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates para más información. 

El listado de las CVE se adjunta a continuación:


Tags: #Microsoft #Patch #Parche #Tuesday #Vulnerabilidad #Windows
  • Productos Afectados
  • Producto Versión
    Productos Microsoft Edge (basado en EdgeHTML y Chromium)
    ChakraCore
    Internet Explorer
    Office y Office Services y aplicaciones web
    Windows Defender
    Visual Studio
    Microsoft Dynamics
    Microsoft Apps para Aplicaciones Android y Microsoft para Mac.
    Microsoft Windows 8
    8.1 (32 y 64 bits)
    10 (32 y 64 bits)
    Microsoft Windows Server 2012
    2012 R2
    2016
    2019


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.