Microsoft corrigió 15 vulnerabilidades críticas de seguridad.
El martes de parches de este mes, Microsoft publicó actualizaciones de seguridad para 74 vulnerabilidades en los productos:
- Adobe Flash Player
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office and Microsoft Office Services and Web Apps
- ChakraCore
- ASP.NET
- Microsoft Exchange Server
- Team Foundation Server
- Azure DevOps Server
- Open Enclave SDK
- Windows Admin Center
De las vulnerabilidades corregidas, 15 son de severidad Crítica y se encuentran principalmente en Internet Explorer, ChakraCore, Edge, Windows, y Adobe Flash Player.
Dos de las vulnerabilidades ya están siendo objeto de ataques de explotación. Son las catalogadas como CVE-2019-0803 y CVE-2019-0859, cuya explotación exitosa pueden resultar en la elevación de privilegios no autorizada en Windows. El atacante podría obtener el control total del sistema.
Las últimas actualizaciones de la pila de servicios para cada versión de Windows se puede encontrar aquí, cuya lista será actualizada cada vez que se lance una nueva actualización de la pila de servicios.
Es recomendable verificar que las actualizaciones sean aplicadas, en particular las catalogadas como críticas ya que alguna de las vulnerabilidades corregidas podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario. Por ejemplo al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta.
Las actualizaciones de Windows 10 son acumulativas y están disponibles a través del catálogo de Microsoft Update. Las actualizaciones para Windows RT 8.1 y Microsoft Office RT están disponibles a través de Windows Update.
Adobe publicó 7 actualizaciones de seguridad.
De su lado, el mismo martes de parches, Adobe publicó actualizaciones de seguridad para los productos:
- Adobe Bridge CC
- Adobe Experience Manager Forms
- Adobe InDesign
- Adobe XD CC
- Adobe Dreamweaver
- Adobe Shockwave player
- Adobe Flash Player
De las actualizaciones publicadas, las de Bridge CC, InDesign, XD CC, Shockwave Player, y Flash Player contienen correcciones a vulnerabilidades críticas cuya explotación exitosa podría llevar a la ejecución de código arbitrario en el contexto del usuario actual.