Microsoft corrige dos fallos importantes en el nuevo parche

Rubén Castro, 14 octubre 2022

Ya ha comenzado las ofertas del 14 Aniversario de AliExpress. El segundo evento de ventas más importante del año con muchos descuentos y cupones. Ofertas de hasta el 70% en los mejores productos y códigos de descuento:

  • ESAN05 y KODl05: 5€ de descuento con EUR39 de compra mínima
  • ESAN10 y KODl10: 8€ de descuento con EUR79 de compra mínima
  • ESAN20 y KODl20: 20€ de descuento con EUR159 de compra mínima
  • ESAN40 y KODl40: 40€ de descuento con EUR299 de compra mínima
  • ESAN80 y KODl80: 80€ de descuento con EUR499 de compra mínima

Ver las mejores ofertas

Microsoft ha publicado versiones actualizadas de Windows y otras correcciones de software para solucionar problemas. Los parches más importantes abordan dos vulnerabilidades de día cero, pero los dos problemas de Exchange que se han descubierto en las últimas semanas siguen suponiendo un riesgo para los sistemas de correo electrónico de todo el mundo.


El martes de parches es el nombre que Microsoft da al día de publicación de sus actualizaciones de seguridad mensuales desde octubre de 2003. Windows tiene un papel importante en los lanzamientos del martes de parches del mes de octubre.

Microsoft ha publicado las actualizaciones de seguridad de octubre de 2022 para parchear 84 vulnerabilidades descubiertas en diversos productos y servicios, como Windows (desde el núcleo hasta el controlador de CD-ROM), Microsoft Edge, Azure, los servicios de dominio de Active Directory, Visual Studio Code, el sistema de archivos NTFS, TCP/IP, la API Win32K y muchos otros. Trece vulnerabilidades clasificadas como “Críticas” suponen el mayor riesgo para los servidores y sistemas de consumo.

Los 84 fallos incluyen 39 vulnerabilidades relacionadas con la elevación de privilegios, dos vulnerabilidades relacionadas con la evasión de funciones de seguridad, 20 vulnerabilidades relacionadas con la ejecución remota de código, 11 vulnerabilidades relacionadas con la fuga de información, ocho vulnerabilidades relacionadas con la denegación de servicio y cuatro vulnerabilidades relacionadas con la suplantación de identidad. El 3 de octubre, Microsoft corrigió doce fallos adicionales que se encontraron en el navegador Edge.

En el parche publicado el 20 de octubre, había dos vulnerabilidades de día cero que fueron parcheadas. La elevación de privilegios para el servicio de sistema de eventos COM+ de Windows El exploit de día cero se basa en la vulnerabilidad (CVE-2022-41033). Microsoft afirma que “el aprovechamiento de esta vulnerabilidad podría dar lugar a la obtención de derechos de máquina” en un sistema local si la vulnerabilidad se aprovecha correctamente.

La vulnerabilidad de divulgación de información en Microsoft Office (CVE-2022-41043) ofrece a los atacantes la oportunidad de filtrar tokens de usuario u “otra información potencialmente sensible”. Según Microsoft, un investigador que desea permanecer “desconocido” descubrió la CVE-2022-41033, y Cody Thomas de SpecterOps descubrió la CVE-2022-41043.

Las empresas y los profesionales se sentirán decepcionados al saber que el martes de parches de este mes no resolverá los problemas de día cero que afectan a Microsoft Exchange. Dado que Redmond necesita más tiempo para preparar los parches, los administradores de sistemas deberían esperar hasta finales de septiembre para aplicar las mitigaciones que se han sugerido.

Rubén Castro

Redactor

Apasionado de explorar y diseccionar lo último en tecnología. Tengo mucha experiencia en el mundo de los ordenadores y el gaming, aunque también me gustan todos los tipos de gadgets.

Consentimiento