Microsoft corrige 12 vulnerabilidades en sus parches de Octubre

Microsoft corrige 12 vulnerabilidades en sus parches de Octubre

La tecnológica Microsoft ha lanzado sus parches de los martes para Octubre de 2018 hace un par de días, por lo que te interesará saber su contenido si tienes software de la compañía.

Estos «patch tuesday» -ciclos de actualizaciones de carácter mensual- traen consigo solución para un total de 49 vulnerabilidades en sus productos, de las cuales 12 son críticas.

Parches de los martes de Microsoft para Octubre

En la entrega de Octubre tenemos correciones para fallos en Microsoft Windows, el navegador Microsoft Edge y también el más antiguo Internet Explorer, así como otros productos conocidos como Office, «Office Services» y aplicaciones web, SQL Management Studio, Exchange Server y ChakraCore.

Del total de 49 vulnerabilidades publicadas, 12 tienen la categoría de críticas, mientras 35 son catalogadas como importantes. También hay una de tipo «moderado» y otra de tipo «bajo».

3 de las vulnerabilidades son públicamente conocidas y una de ellas está siendo explotada previamente, por lo que es importante actualizar

Correción para vulnerabilidad actualmente explotada

Según uno de los boletines, un grupo indeterminado de atacantes está aprovechando una elevación de privilegios (CVE-2018-8453) en el sistema operativo Microsoft Windows, que permitiría control total sobre este.

Es un fallo existente en los drivers en modo kernel (Win32K) cuyo componente no manjea correctamente los objetos alojados en memoria, permitiendo la ejecución de código remoto usando una aplicación diseñada ex-profeso.

Hablando de ejecución remota de código, existe además otra de tipo crítico en todos los sistemas Windows: desde Windows Server 2008 a 2019 y desde Windows 7 a Windows 10.

Una de ellas (CVE-2018-8494) reside en el componente de interpretación de XML Core Services (MSXML), que podría aprovecharse pasando contenido XML modificado mediante entrada del usuario.

Es decir, que si un atacante consigue que el usuario abra una web especialmente diseñada para invocar MSXML mediante su navegador, podría tomar el control completo del equipo.

3 vulnerabilidades ya conocidas

El mes pasado un investigador de ciberseguridad reveló detalles sobre tres vulnerabilidades, dado que la empresa no cumplió con el plazo dado por este para tomar medidas (120 días).

Mediante la detallada en CVE-2018-8423, residente en Microsoft Jet Database Engine, un atacante podría ejecutar código malicioso remotamente en cualquier equipo con Windows. En su momento se publicó una prueba de concepto.

Las otras dos vulnerabilidades ya desclasificadas son de tipo importante, incluyendo por un lado el kernel de Windows –CVE-2018-8497– y el Azure IoT Hub Device Client SDK (CVE-2018-8531).

Estos problemas ocasionarían escalado de privilegios y ejecución remota de código, respectivamente.

Resto de parches

Las actualizaciones incluyen también parches para 9 vulnerabilidades de gravedad crítica (corrupción de memoria) permitiendo ejecución de código remota y que afectan de la siguiente manera:

  • Internet Explorer: 2
  • Microsoft Edge: 2
  • Chakra Scripting Engine: 4
  • Scripting Engine: 1

También se ha publicado una actualización para Microsoft Office que proporciona mejor seguridad a modo de defensa en profundidad.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.