Microsoft ha lanzado actualizaciones de seguridad que resuelven un total de 85 nuevas vulnerabilidades, incluidas, según su gravedad, 7 críticas, 17 altas, 46 medias y 17 bajas, de las cuales 10 son de tipo zero day.
Productos Afectados
- .NET y Visual Studio.
- Microsoft Office (Excel, Outlook, PowerPoint, Project, Visio).
- Microsoft Edge (basado en Chromium).
- Servicios de impresión de Windows.
- Controladores Bluetooth de Microsoft.
- Azure CycleCloud y otros servicios de Azure.
- Windows (incluyendo componentes críticos como el núcleo y el servicio de enrutamiento).
Impacto
Las 7 vulnerabilidades de severidad crítica se identifican como:
- CVE-2024-38063: Se le ha asignado una puntuación de 9.8 en la escala CVSSv3 Esta vulnerabilidad de ejecución remota de código (RCE) en el protocolo TCP/IP de Windows, podría permitir a un actor malicioso ejecutar código malicioso de forma remota.
- CVE-2024-38140: Se le ha asignado una puntuación de 9.8 en la escala CVSSv3, con una vulnerabilidad identificada en el controlador de transporte de multidifusión confiable de Windows, que podría permitir la ejecución remota de código.
- CVE-2024-38199: Se le ha asignado una puntuación de 9.8 en la escala CVSSv3. Esta vulnerabilidad en el servicio LPD (Line Printer Daemon) de Windows, que permite la ejecución remota de código. Esto podría permitir a un actor malicioso ejecutar código arbitrario en el sistema afectado, lo que puede resultar en la toma de control total del mismo.
- CVE-2024-38108: Se le ha asignado una puntuación de 9.3 en la escala CVSSv3. Esta vulnerabilidad identificada en el Azure Stack Hub que permite la suplantación de identidad, afectando la seguridad de las aplicaciones web, podría permitir a un actor malicioso realizar la suplantación de identidad mediante técnicas de Cross-site Scripting (XSS).
- CVE-2024-38109: Se le ha asignado una puntuación de 9.1 en la escala CVSSv3. Esta vulnerabilidad identificada en el Azure Stack Hub que podría permitir la elevación de privilegios.
- CVE-2024-38159: Se le ha asignado una puntuación de 9.1 en la escala CVSSv3. Esta vulnerabilidad en la virtualización de redes de Windows, podría permitir la ejecución remota de código y permitir a un actor malicioso la ejecución de código malicioso de forma remota.
- CVE-2024-38160: Se le ha asignado una puntuación de 9.1 en la escala CVSSv3. Esta vulnerabilidad identificada en la virtualización de redes de Windows podría permitir la ejecución remota de código y permitir a un actor ejecutar código malicioso en el sistema afectado.
El listado de los productos afectados con severidades altas, medias y bajas se detallan en:
Recomendación:
Aplicar los parches de seguridad que resuelven las vulnerabilidades encontradas en los productos afectados.
Referencia:
https://nvd.nist.gov/vuln/detail/CVE-2024-38063
https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug