Patch Tuesday de Microsoft corrige 88 vulnerabilidades en Junio de 2019

Toca hablar nuevamente de parches de Microsoft. Aunque casi parece que uno nunca deja de parchear, cuando no es Microsoft es Adobe, por no hablar hipervisores, CMS y un largo etcétera.

Como sabéis, Microsoft lanza todos los meses los parches de los martes (el segundo de cada mes) poco antes de mediados de mes. Todos los productos desarrollados por la compañía reciben el «cariño» de Microsoft, se tapan vulnerabilidades o se mejoran los mecanismos de seguridad.

Y caramba, el Patch Tuesday viene cargadito este mes, con nada menos que 88 vulnerabilidades corregidas. Sigue leyendo para conocer lo más importante.

Microsoft corrige 88 vulnerabilidades en su Patch Tuesday

Los boletines de seguridad para el mes de Junio incluyen bastantes cosas, como 4 advisories, 1 actualización de servicio (servicing stack) y lo más importante, correciones para 88 vulnerabilidades en los diferentes productos de la empresa.

21 de estos problemas de seguridad se consideran críticos. Algunos boletines incluyen actualizaciones para drivers y software de terceras partes, con el objetivo de solventar vulnerabilidades. Es el caso, por ejemplo, de Adobe Flash Player.

Según Microsoft, ninguno de estos Zero Day / vulnerabilidades ha sido explotado a fecha del lanzamiento de los parches. Por supuesto, la recomendación es aplicar los parches sin demora, no vaya a ser…

Los 4 boletines (advisories) publicados hacen referencia a los Zero Days atribuidos a SandBox Escaper el mes pasado, cuando la activista anti-americana decidió compartir toda esta información en Github.

• CVE-2019-1069: este fallo afecta al programador de tareas de Windows 10, Windows Server 2016 y versiones posteriores. Permite elevación de privilegios en equipos afectados.
• CVE-2019-1064: elevación de privilegios en Windows que afecta a Windows 10, Windows Server 2016 y posteriores.
• CVE-2019-1053: Vulnerabilidad en consola de Windows que permite elevación de privilegios en la misma y afecta a todos los sistemas operativos de Microsoft. Podría permitir elevación de privilegios escapando de la sandbox o area protegida de ejecución.
• CVE-2019-0973: Vulnerabilidad en Windows Instaler, que podría permitir elevación de privilegios en equipos afectados a causa de una pobre sanitización de entrada en librerías cargadas.

Además, merece la pena recordar la preocupación que ha generado la vulnerabilidad que afecta a sistemas Windows previos a Windows 10. En este caso el problema está en RDS (Remote Desktop Services), pudiendo hacerse wormable (es decir, transmitirse a modo de gusano rápidamente).

Este problema, denominado Bluekeep. es muy grave por que no requiere acción por parte del usuario, de ahí que hayan alertado de un posible caso similar al de Wannacry si la industria no adopta medidas pronto.

Actualiza ahora si puedes, o como mínimo ve planificando cuando toca hacerlo.