Microsoft ha implementado correcciones para su sistema operativo Windows y otros componentes de software para remediar las principales deficiencias de seguridad como parte de Actualizaciones del martes de parches para junio de 2023.
De los 73 defectos, seis se califican como críticos, 63 se califican como importantes, dos se califican como moderados y uno se califica como de gravedad baja. Esto también incluye tres problemas que el gigante tecnológico abordó en su navegador Edge basado en Chromium.
Vale la pena señalar que Microsoft también cerró 26 otros defectos en Edge, todos ellos enraizados en Chromium, desde el lanzamiento de las actualizaciones de May Patch Tuesday. Esto comprende CVE-2023-3079, un error de día cero que Google reveló como explotado activamente la semana pasada.
Las actualizaciones de junio de 2023 también marcan la primera vez en varios meses que no presenta ninguna falla de día cero en los productos de Microsoft que se conozca públicamente o que esté bajo ataque activo en el momento del lanzamiento.
Encabezando la lista de correcciones está CVE-2023-29357 (puntuación CVSS: 9,8), una falla de escalada de privilegios en SharePoint Server que podría ser aprovechada por un atacante para obtener privilegios de administrador.
«Un atacante que haya obtenido acceso a tokens de autenticación JWT falsificados puede usarlos para ejecutar un ataque de red que elude la autenticación y le permite obtener acceso a los privilegios de un usuario autenticado», dijo Microsoft. «El atacante no necesita privilegios ni el usuario necesita realizar ninguna acción».
Redmond también corrigió tres errores críticos de ejecución remota de código (CVE-2023-29363, CVE-2023-32014y CVE-2023-32015puntajes CVSS: 9.8) en Windows Pragmatic General Multicast (PGM) que podría armarse para «lograr la ejecución remota de código e intentar activar código malicioso».
Microsoft abordó previamente una falla similar en el mismo componente (CVE-2023-28250puntaje CVSS: 9.8), un protocolo diseñado para entregar paquetes entre múltiples miembros de la red de manera confiable, en abril de 2023.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
El gigante tecnológico también resolvió dos errores de ejecución remota de código que afectan a Exchange Server (CVE-2023-28310 y CVE-2023-32031) que podría permitir a un atacante autenticado lograr la ejecución remota de código en las instalaciones afectadas.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, que incluyen: