Microsoft ha lanzado actualizaciones de seguridad para abordar 51 defectos como parte de sus actualizaciones del martes de parches para junio de 2024.
De las 51 vulnerabilidades, una está clasificada como crítica y 50 como importante. Esto es además de 17 vulnerabilidades resuelto en el navegador Edge basado en Chromium durante el último mes.
Ninguna de las fallas de seguridad ha sido explotada activamente en la naturaleza, y una de ellas figura como conocida públicamente en el momento del lanzamiento.
Se trata de un aviso de un tercero rastreado como CVE-2023-50868 (Puntuación CVSS: 7,5), un problema de denegación de servicio que afecta el proceso de validación de DNSSEC y que podría provocar el agotamiento de la CPU en un solucionador de validación de DNSSEC.
Lo informaron investigadores del Centro Nacional de Investigación para la Ciberseguridad Aplicada (ATHENE) en Darmstadt en febrero, junto con KeyTrap (CVE-2023-50387, puntuación CVSS: 7,5).
«NSEC3 es una versión mejorada de NSEC (Next Secure) que proporciona una denegación de existencia autenticada», dijo en un comunicado Tyler Reguly, director asociado de I+D de seguridad de Fortra. «Al demostrar que un registro no existe (con evidencia de los registros circundantes), puede ayudar a prevenir el envenenamiento de la caché DNS en dominios inexistentes».
«Dado que se trata de una vulnerabilidad a nivel de protocolo, otros productos además de Microsoft se ven afectados con servidores DNS conocidos como bind, powerdns, dnsmasq y otros que también lanzan actualizaciones para resolver este problema».
La más grave de las fallas corregidas en la actualización de este mes es una falla crítica de ejecución remota de código (RCE) en el servicio Microsoft Message Queuing (MSMQ) (CVE-2024-30080puntuación CVSS: 9,8).
«Para explotar esta vulnerabilidad, un atacante necesitaría enviar un paquete MSMQ malicioso especialmente diseñado a un servidor MSMQ», dijo Microsoft. «Esto podría resultar en la ejecución remota de código en el lado del servidor».
Redmond también resolvió varios otros errores de RCE que afectan a Microsoft Outlook (CVE-2024-30103), Controlador Wi-Fi de Windows (CVE-2024-30078), y numerosas fallas de escalada de privilegios en el subsistema kernel de Windows Win32 (CVE-2024-30086), Controlador de minifiltro de archivos en la nube de Windows (CVE-2024-30085) y Win32k (CVE-2024-30082), entre otros.
La empresa de ciberseguridad Morphisec, que descubrió CVE-2024-30103, dijo que la falla podría usarse para activar la ejecución de código sin requerir que los usuarios hagan clic o interactúen con el contenido del correo electrónico.
«Esta falta de interacción requerida por parte del usuario, combinada con la naturaleza sencilla del exploit, aumenta la probabilidad de que los adversarios aprovechen esta vulnerabilidad para el acceso inicial», dijo el investigador de seguridad Michael Gorelik. dicho.
«Una vez que un atacante explota con éxito esta vulnerabilidad, puede ejecutar código arbitrario con los mismos privilegios que el usuario, lo que podría comprometer todo el sistema».
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas: