Las actualizaciones de seguridad de Microsoft Patch Tuesday para enero de 2024
solucionaron
48 fallas
en Microsoft Windows y componentes de Windows; Componentes de Oficina y
Oficina; Azur; .NET Framework y Visual Studio; Servidor SQL; Windows Hyper-V;
e Internet Explorer. El gigante de TI también solucionó múltiples errores de
Chromium, lo que elevó el número total de problemas solucionados a 53,
incluidas dos vulnerabilidades críticas.
«Ninguno de los CVE publicados hoy figura como conocido públicamente o bajo
ataque activo en el momento de su publicación», informó Zero Day Initiative.
Dos de las vulnerabilidades abordadas se clasifican como críticas, los 47
problemas restantes se clasifican como importantes en cuanto a su gravedad.
Las vulnerabilidades críticas son:
-
CVE-2024-20700
(CVSS score: 7.5): Vulnerabilidad de ejecución remota de código de Windows
Hyper-V. La explotación exitosa de esta vulnerabilidad requiere que un
atacante primero obtenga acceso a la red restringida antes de ejecutar un
ataque. -
CVE-2024-20674
(CVSS score: 9.0): Vulnerabilidad de omisión de la función de seguridad
Kerberos de Windows. Un atacante no autenticado podría aprovechar esta
vulnerabilidad estableciendo un ataque de máquina en el medio (MiTM) u otra
técnica de suplantación de red local y luego enviando un mensaje Kerberos
malicioso a la máquina cliente víctima para simular ser el servidor de
autenticación Kerberos. Un atacante puede aprovechar esta vulnerabilidad
solo después de obtener acceso a la red restringida antes de lanzar un
ataque. Al investigador de seguridad
ldwilmore34
se le atribuye el mérito de descubrir e informar la falla.
Otras fallas notables incluyen
CVE-2024-20653
(puntuación CVSS: 7.8), una falla de escalamiento de privilegios que afecta al
controlador Common Log File System (CLFS), y
CVE-2024-0056
(puntuación CVSS: 8.7), una omisión de seguridad que afecta al
system.Data.SqlClient y Microsoft.Data.SqlClient.
Microsoft señaló además que está deshabilitando la capacidad de insertar
archivos FBX en Word, Excel, PowerPoint y Outlook en Windows de forma
predeterminada debido a una falla de seguridad (CVE-2024-20677, puntuación CVSS: 7.8) que podría conducir a la ejecución remota de código.
La lista completa de vulnerabilidades abordadas por Microsoft está disponible
aquí.
Actualizaciones de otros vendedores
- Adobe
- AMD
- Android
- Arm
- ASUS
- Bosch
- Cisco
- Dell
- F5
- Fortinet
- Google Chrome
- Google Cloud
- HP
- IBM
- Intel
- Lenovo
-
Linux distributions
Debian,
Oracle Linux,
Red Hat, SUSE, y
Ubuntu - MediaTek
- NETGEAR
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- Trend Micro
- Zimbra, y
- Zoom
Fuente:
SecurityAffairs
|
THN
Los comentarios están cerrados.