PIXEL FACEBOOK
logo-blanco

Microsoft Patch Tuesday para diciembre de 2022 corrige dos días cero

Esta semana, Microsoft lanzó sus actualizaciones mensuales programadas para los sistemas Windows. El martes de parches de diciembre fue la última actualización de Microsoft para 2022, parcheando dos vulnerabilidades de día cero y otras 50 fallas.

Microsoft solucionó dos vulnerabilidades de día cero

En cuanto a los errores de día cero, la primera vulnerabilidad existía en la función Windows SmartScreen. Si bien era una falla de gravedad media (CVSS 5.4), se volvió grave ya que llamó la atención de los piratas informáticos antes de recibir una solución.

Al profundizar en esta vulnerabilidad, CVE-2022-44698, Microsoft se refirió a ella como una omisión de seguridad que permitía que los archivos creados con fines malintencionados evadieran las comprobaciones de seguridad de Mark of the Web (MOTW). Un atacante podría explotar la falla a través de sitios web creados con fines maliciosos (para ataques basados ​​en la web), correos electrónicos no deseados o mensajes que contengan direcciones URL maliciosas o sitios web comprometidos. La compañía le dio crédito a Will Dormann por reportar la falla.

La segunda vulnerabilidad de día cero, CVE-2022-44710, existía en el núcleo de gráficos de DirectX. Microsoft lo definió como una vulnerabilidad de escalada de privilegios que permite a SYSTEM acceder a la condición de carrera ganadora de un atacante (un requisito previo para explotar la falla). Este fue un defecto grave con una puntuación CVSS de 7,5. La empresa agradeció a Luka Pribanić por informar el error.

  La nueva aplicación Health Connect de Google lo ayuda a controlar sus datos de salud

Otras actualizaciones de Microsoft Patch Tuesday de diciembre

Junto con los dos días cero, Microsoft también solucionó muchas otras vulnerabilidades de seguridad en diferentes productos. Estos incluyen seis vulnerabilidades críticas de ejecución remota de código que afectan a Microsoft SharePoint Server, PowerShell y Windows Secure Socket Tunneling Protocol (SSTP).

A continuación, el grupo de actualizaciones incluye 42 correcciones de vulnerabilidades para problemas de alta gravedad. La explotación de estos errores podría generar privilegios elevados, ejecución remota de código, divulgación de información, denegación de servicio o incluso suplantación de identidad. La mayoría de las fallas de RCE existían en Microsoft Office Graphics (CVSS 7.8). Además, otros productos vulnerables incluyen Microsoft Office Visio, Outlook, Bluetooth Driver, Windows Graphics Component, Hyper-V, Windows Media, Print Spooler y Windows Kernel.

Finalmente, el último parche del martes para 2022 resolvió dos problemas de gravedad moderada en el componente de gráficos de Windows (CVE-2022-44697, CVSS 7.8) y Microsoft Edge (CVE-2022-44688, CVSS 4.3).

Si bien estas actualizaciones llegan automáticamente a los sistemas Windows compatibles, los usuarios también pueden buscar actualizaciones manualmente para asegurarse de recibir los parches a tiempo.

Fuente

Facebook
Twitter
LinkedIn
WhatsApp

Deja una respuesta

Artículos Relacionados

Síguenos
EnglishPortugueseSpanish