Microsoft parchea 36 vulnerabilidades en Windows y Office (Patch-Day II) [Actualización]

Microsoft lanzó la segunda ronda de actualizaciones de seguridad para Windows y Office el martes 14 de septiembre de 2023. Se solucionaron un total de 36 vulnerabilidades, 15 de las cuales fueron clasificadas como críticas.

Entre otras cosas, las actualizaciones cierran brechas en los navegadores Edge e Internet Explorer, en el kernel de Windows, en la autenticación de Windows, en la cola de impresión de Windows, en Microsoft Exchange Server, en Microsoft SharePoint Server y en varios productos de Office.

Las vulnerabilidades críticas permiten a los atacantes ejecutar de forma remota código malicioso en los sistemas afectados, por ejemplo mediante el uso de sitios web o correos electrónicos comprometidos. Algunas de las vulnerabilidades ya han sido explotadas activamente, como advierte Microsoft en sus avisos de seguridad. Por ello, la empresa recomienda instalar las actualizaciones lo antes posible.

Las actualizaciones se pueden descargar desde la instalación de Windows Update o desde el Catálogo de Microsoft Update. Los usuarios deben asegurarse de obtener las últimas versiones de las actualizaciones, ya que Microsoft ha publicado algunas correcciones después del hecho. Para obtener más información sobre cada actualización, consulte la página web del Centro de respuesta de seguridad de Microsoft.

[Actualización 15/09/2023] Microsoft ha lanzado otra actualización para Exchange Server que corrige una vulnerabilidad crítica (CVE-2023-4044) que permite a los atacantes ejecutar comandos arbitrarios en el servidor. La actualización se aplica a Exchange Server 2019, 2016 y 2013 y debe instalarse con urgencia.

**Resumen del martes de parches (actualización de junio)**

– Microsoft publicó 16 boletines de seguridad el 14 de junio, abordando un total de 36 vulnerabilidades de seguridad en varios productos y componentes.

– Las vulnerabilidades incluían fallas calificadas como críticas en Windows, Internet Explorer (IE), Edge, Microsoft Office, Exchange Server, DNS Server y otros componentes.

– También se proporcionaron actualizaciones de seguridad para Windows Server 2016 Technical Preview 5 y las próximas ediciones de Windows 10 Server.

– Varias vulnerabilidades se clasificaron como vulnerabilidades de ejecución remota de código (RCE) o elevación de privilegios (EoP), lo que permite a los atacantes ejecutar código o escalar privilegios.

– Las vulnerabilidades en Windows-PDF y Microsoft Office permitieron la ejecución de código malicioso a través de documentos especialmente diseñados.

– Varias versiones de Windows, incluidas Windows 8.1, 10, Server 2008 R2, 2012 y 2012 R2, se vieron afectadas por diferentes vulnerabilidades.

**Vulnerabilidades notables (muestra)**

– MS16-063: vulnerabilidad crítica en Internet Explorer, que permite a los atacantes ejecutar código a través de sitios web especialmente diseñados.

– MS16-068: Vulnerabilidad crítica en Microsoft Edge, que permite la ejecución de código a través de sitios web maliciosos.

– MS16-070: Vulnerabilidad crítica en Microsoft Office, que permite la ejecución de código a través de documentos especialmente diseñados.

– MS16-071: Vulnerabilidad crítica en Servidor DNS, permitiendo ejecución de código con privilegios del sistema local.

– MS16-075: Vulnerabilidad de alto riesgo en SMB Server, donde los usuarios locales autenticados podían ejecutar código con mayores privilegios.

– MS16-079: Vulnerabilidades de alto riesgo en Exchange Server, que involucran las bibliotecas Outlook Web Access (OWA) y Oracle Outside In.

Tenga en cuenta que la información que proporcionó está relacionada con una actualización específica que se publicó el 14 de junio de 2016. Dado que mi fecha límite de conocimiento es septiembre de 2021, no tengo acceso a actualizaciones ni eventos más allá de ese momento. Si busca información más reciente sobre las actualizaciones de seguridad de Microsoft, le recomiendo visitar el sitio web oficial de Actualizaciones de seguridad de Microsoft o consultar fuentes más actualizadas.