 |
| (Adobe Stock) |
Microsoft parcheó 90 nuevos CVE para el Patch Tuesday de agosto, nueve de los cuales eran vulnerabilidades zero-day y seis estaban siendo explotadas activamente in the wild.
De las vulnerabilidades zero-day explotadas, cinco eran de gravedad alta y una era de gravedad media. Microsoft también parcheó 11 errores crÃticos, nueve de los cuales tenÃan puntuaciones de CVSS publicadas.
En cuanto a las vulnerabilidades zero-day explotadas in the wild, cinco eran de gravedad alta y se muestran a continuación, según la Iniciativa de Zero Day de Trend Micro:
CVE-2024-38178 - Vulnerabilidad de corrupción de memoria del motor de script: esta vulnerabilidad requiere que el objetivo esté utilizando Edge en Internet Explorer. Una vez que Edge está en modo IE, la Iniciativa de Zero Day dijo que solo se necesita un clic del usuario para ejecutar código. El parche viene con una corrección para Windows 11 v24H2, que no está disponible para el público en general. Sin embargo, la Iniciativa de Zero Day dijo que Microsoft realizó la phosphorización porque los dispositivos Copilot+ se envÃan con esta versión de Windows.
CVE-2024-38193 - Vulnerabilidad de elevación de privilegios del driver de función auxiliar de WinSock en Windows: esta vulnerabilidad de elevación de privilegios permite a los atacantes ejecutar código como SYSTEM. Microsoft no ofrece indicación alguna sobre la amplitud de esta explotación, pero la Iniciativa de Zero Day dijo que, considerando la fuente, si no es ya ransomware, probablemente lo será pronto.
CVE-2024-38106 - Vulnerabilidad de elevación de privilegios del kernel de Windows: esta vulnerabilidad de elevación de privilegios conduce a privilegios de SYSTEM. La Iniciativa de Zero Day dijo que Microsoft lista la complejidad de la explotación como "alta" porque el atacante necesita ganar una condición de carrera.
CVE-2024-38107 - Vulnerabilidad de elevación de privilegios del coordinador de dependencia de energÃa de Windows: esta vulnerabilidad de elevación de privilegios conduce a privilegios de SYSTEM y se está explotando. La Iniciativa de Zero Day dijo que esto muestra cómo las caracterÃsticas adicionales pueden agregar superficie de ataque potencial.
CVE-2024-38189 - Vulnerabilidad de ejecución de código remoto de Microsoft Project: aunque la Iniciatura de Zero Day dijo que es extraño ver una ejecución de código en Project, existe y se está explotando.
Además, Microsoft publicó orientación sobre cómo bloquear macro ejecuciones en productos de Office.
Adobe lanza parches para Commerce y otros productos
En el Patch Tuesday, Adobe también abordó 71 CVE en sus productos. La Iniciativa de Zero Day dijo que la actualización más grande fue para Adobe Commerce, que incluye varias correcciones para errores crÃticos de ejecución de código. La Iniciativa de Zero Day también dijo que el parche para InDesign corrige muchos errores de ejecución de código, pero se preocupó más por la actualización para Acrobat y Reader porque los PDF malintencionados son utilizados por grupos de ransomware.
Fuente: SC Magazine