Internet Explorer día cero entre 99 problemas del martes de parches

Internet Explorer día cero entre 99 problemas del martes de parches


Microsoft ha lanzado 99 correcciones de seguridad, 12 marcadas como críticas, en su actualización del martes del parche de febrero, entre ellos una vulnerabilidad crítica en el navegador web Internet Explorer que se sabe que ya ha sido explotada en la naturaleza.

Revelado por primera vez el 17 de enero, CVE-2020-0674 es una vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria en Internet Explorer. Daña la memoria de una manera que permite a un atacante ejecutar código arbitrario en el contexto del usuario actual y obtener los mismos derechos de usuario, lo cual es problemático si el usuario tiene privilegios de administrador.

En un escenario de ataque basado en la web, un ciberdelincuente podría configurar un sitio web para explotar la vulnerabilidad y convencer a un usuario para que vea el sitio web enviando un correo electrónico de phishing, por ejemplo.

Deberías leer:   Stremio disponible en Android TV: aquí está el agregador de todos los streams

El martes de parches de febrero también incluye actualizaciones para Microsoft Windows, Microsoft Edge (versiones EdgeHTML y Chromium), ChakraCore, Microsoft Exchange Server, Microsoft SQL Server, Microsoft Office y Microsoft Office Services and Web Apps, Windows Malicious Software Removal Tool y Windows Surface Hub .

Sigue una actualización de enero llena de acontecimientos, que marcó no solo el final del soporte para Windows 7, sino que también solucionó una falla crítica del escritorio remoto y, en particular, una vulnerabilidad criptográfica en Windows 10 y Windows Server 2016, a la que fue alertado por el Agencia de Seguridad Nacional de EE. UU. En un movimiento casi sin precedentes.

La actualización de febrero es nuevamente notable por ser uno de los martes de parches más grandes de la historia, pero según Todd Schell, gerente senior de productos de seguridad de Ivanti, la mayoría de las CVE contenidas en ella pueden repararse aplicando solo unas pocas actualizaciones.

Deberías leer:   Debido a un problema técnico, algunos clientes de WindTre Easy Pay recibirán varios cargos

«En promedio, las actualizaciones de su sistema operativo resolverán alrededor de 50 CVE», dijo Schell. «La excepción es Windows 10, que, junto con IE y Edge, resolverá 88 CVE. De lo que es más importante hablar es de cuáles de estos 99 CVE son más críticos para resolver y qué productos necesita actualizar para tapar esos agujeros. Junto con Microsoft, Adobe y Mozilla también tienen actualizaciones de seguridad este mes.

“Cinco de los CVE (incluido el día cero) se han divulgado públicamente, lo que significa que se ha puesto a disposición del público suficiente información para darles a los actores de la amenaza una ventaja sobre cómo explotarlos. Al actualizar el sistema operativo o los navegadores con un par de parches por sistema, puede eliminar la mayor parte del riesgo este mes «.

Agregó: «La muy buena noticia en todo esto es que 99 CVE realmente no significan mucho trabajo extra para los administradores este mes. Las actualizaciones normales aún se aplican. El sistema operativo, los navegadores y Office resolverán la mayoría de sus vulnerabilidades desde el lado de Microsoft. Los administradores de SQL y Exchange obtienen un poco de trabajo extra este mes ya que ambos productos están incluidos en las actualizaciones publicadas «.

Deberías leer:   vende casi US$ 7.000 millones en acciones de Tesla por si pierde el juicio por Twitter

Schell dijo que aún podría haber margen para cierta confusión con respecto a las actualizaciones de Windows 7, Server 2008 y 2008 R2, que señaló que todavía se documentan públicamente y se enumeran en el catálogo estándar de WSUS (Windows Server Update Services).

Señaló que esto no significaba que todos tuvieran acceso a dichas actualizaciones y, según informes anteriores, aún necesitarán suscriptores pagados al esquema de Actualizaciones de Seguridad Extendida (ESU) de Microsoft para cumplir con los criterios específicos para los esquemas de actualizaciones gratuitas . También hay un parche de preparación de licencia de ESU que los usuarios deben instalar para prepararse para las actualizaciones de ESU.

Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.