Ayer, fue el martes de parches de enero de 2024 de Microsoft, que incluye actualizaciones de seguridad para un total de 49 fallas y 12 vulnerabilidades de ejecución remota de código.
Solo dos vulnerabilidades se clasificaron como críticas: una era la omisión de la función de seguridad Kerberos de Windows y la otra un RCE de Hyper-V.
La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación:
10 vulnerabilidades de elevación de privilegios
7 vulnerabilidades de omisión de funciones de seguridad
12 vulnerabilidades de ejecución remota de código
11 vulnerabilidades de divulgación de información
6 vulnerabilidades de denegación de servicio
3 vulnerabilidades de suplantación de identidad
El recuento total de 49 fallas no incluye 4 fallas de Microsoft Edge corregidas el 5 de enero.
Si bien no hubo vulnerabilidades explotadas activamente o divulgadas públicamente este mes, algunas fallas son más interesantes que otras.
Microsoft corrige una vulnerabilidad de ejecución remota de código de Office rastreada como CVE-2024-20677 que permite a los actores de amenazas crear documentos de Office creados con fines malintencionados con archivos de modelo 3D FBX integrados para realizar la ejecución remota de código.
Un error crítico de Windows Kerberos identificado como CVE-2024-20674 también se solucionó ayer, lo que permitía a un atacante eludir la función de autenticación.
Info – Ciberseguridad Latam