14/01/2021
Microsoft ha publicado actualizaciones de seguridad que corrigen 83 vulnerabilidades, 10 de las cuales han sido consideradas como críticas y las 73 restantes como importantes.
Entre los fallos encontrados se encuentra un zero-day identificado como “CVE-2021-1647”, de criticidad alta, con una vulnerabilidad de ejecución remota de código que afecta a Microsoft Defender, en diferentes versiones de Windows, explotada por atacantes a través de Internet. Un listado completo de las plataformas afectadas puede verse en: Plataformas afectadas.
Cabe destacar que estos nuevos parches corrigen además una serie de fallos y errores en el sistema operativo no relacionados con la seguridad.
Productos afectados:
Las vulnerabilidades publicadas son de los siguientes tipos:
A continuación se detallan las vulnerabilidades críticas:
El CVE-2021-1647 (calificación, crítico) que afecta a l motor de protección contra malware: Microsoft Defender, permite que un atacante pueda explotar una vulnerabilidad de ejecución remota de código.
El CVE-2021-1665 que afecta al componente de gráficos de Microsoft GDI+, permite que un atacante aproveche una vulnerabilidad de ejecución remota de código.
El CVE-2021-1643, que afecta las extensiones de video HEVC , aprovecha una vulnerabilidad que permite la ejecución remota de código.
El CVE-2021-1668, que afecta al decodificador de video Microsoft DTV-DVD, permite que un atacante aproveche una vulnerabilidad de ejecución remota de código.
El CVE-2021-1705, que afecta a Microsoft Edge (basado en HTML), permite aprovechar una vulnerabilidad de corrupción de memoria.
El CVE-2021-1658, que afecta el tiempo de ejecución de llamada a procedimiento remoto de Windows, permite a un atacante explotar una vulnerabilidad de ejecución remota de código.
Los CVE-2021-1660, CVE-2021-1666, CVE-2021-1667, CVE-2021-1673, que afecta Microsoft Windows, en el tiempo de ejecución de llamada a procedimiento remoto, permiten que un atacante aproveche una vulnerabilidad de ejecución remota de código.
En en el siguiente enlace encontrará la lista completa de vulnerabilidades y fallos detallados con su respectivos identificadores.
Recomendaciones de seguridad
Con la aplicación e instalación de la actualización que corrigen los errores se mitiga los problemas potenciales.
Para el caso de la vulnerabilidad Zero-Day, que afecta a Microsoft Defender (CVE-2021-1647), se recomienda:
Referencias