Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Microsoft publica una actualización de seguridad que corrige 118 fallas, dos de las cuales se explotan activamente en la naturaleza
  • Tecnología

Microsoft publica una actualización de seguridad que corrige 118 fallas, dos de las cuales se explotan activamente en la naturaleza

teknomers 9 de Ekim de 2024 (Last updated: 9 de Ekim de 2024) 4 minutes read
Microsoft publica una actualización de seguridad que corrige 118 fallas,


09 de octubre de 2024Ravie LakshmananVulnerabilidad / Día Cero

Microsoft ha lanzado actualizaciones de seguridad para solucionar un total de 118 vulnerabilidades en toda su cartera de software, dos de los cuales han sido objeto de explotación activa en la naturaleza.

De los 118 defectos, tres están clasificados como críticos, 113 como importantes y dos como de gravedad moderada. La actualización del martes de parches no incluye el 25 defectos adicionales que el gigante tecnológico abordó en su navegador Edge basado en Chromium durante el último mes.

Cinco de las vulnerabilidades figuran como conocidas públicamente en el momento de su publicación, y dos de ellas se encuentran bajo explotación activa como día cero:

  • CVE-2024-43572 (Puntuación CVSS: 7,8) – Vulnerabilidad de ejecución remota de código de Microsoft Management Console (explotación detectada)
  • CVE-2024-43573 (Puntuación CVSS: 6,5) – Vulnerabilidad de suplantación de identidad en la plataforma MSHTML de Windows (explotación detectada)
  • CVE-2024-43583 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios de Winlogon
  • CVE-2024-20659 (Puntuación CVSS: 7.1) – Vulnerabilidad de omisión de la función de seguridad Hyper-V de Windows
  • CVE-2024-6197 (Puntuación CVSS: 8,8) – Vulnerabilidad de ejecución remota de código Curl de código abierto (CVE que no es de Microsoft)

Vale la pena señalar que CVE-2024-43573 es similar a CVE-2024-38112 y CVE-2024-43461, otros dos defectos de suplantación de MSHTML que fueron explotados antes de julio de 2024 por el actor de amenazas Void Banshee para entregar el malware Atlantida Stealer.

Ciberseguridad

Microsoft no menciona cómo se explotan las dos vulnerabilidades en la naturaleza, ni quién, ni qué tan extendidas están. Le dio crédito a los investigadores Andrés y Shady por informar sobre CVE-2024-43572, pero no se ha dado ningún reconocimiento para CVE-2024-43573, lo que plantea la posibilidad de que pueda tratarse de un caso de omisión del parche.

“Desde el descubrimiento de CVE-2024-43572, Microsoft ahora impide que se abran en un sistema archivos MSC que no son de confianza”, dijo Satnam Narang, ingeniero senior de investigación de Tenable, en un comunicado compartido con The Hacker News.

La explotación activa de CVE-2024-43572 y CVE-2024-43573 también ha sido observada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que agregado a sus vulnerabilidades explotadas conocidas (KEV) catálogo, lo que requiere que las agencias federales apliquen las correcciones antes del 29 de octubre de 2024.

Entre todos los fallos revelados por Redmond el martes, el más grave se refiere a un fallo de ejecución remota en Microsoft Configuration Manager (CVE-2024-43468puntuación CVSS: 9,8) que podría permitir a actores no autenticados ejecutar comandos arbitrarios.

“Un atacante no autenticado podría explotar esta vulnerabilidad enviando solicitudes especialmente diseñadas al entorno de destino que se procesan de manera insegura, lo que permite al atacante ejecutar comandos en el servidor y/o la base de datos subyacente”, dijo.

Otros dos fallos de gravedad clasificados como críticos también se relacionan con la ejecución remota de código en la extensión Visual Studio Code para Arduino (CVE-2024-43488puntuación CVSS: 8,8) y servidor de Protocolo de escritorio remoto (RDP) (CVE-2024-43582puntuación CVSS: 8,1).

“La explotación requiere que un atacante envíe paquetes deliberadamente mal formados a un host RPC de Windows y conduce a la ejecución de código en el contexto del servicio RPC, aunque lo que esto significa en la práctica puede depender de factores que incluyen Configuración de restricción de interfaz RPC en el activo objetivo”, dijo Adam Barnett, ingeniero de software líder en Rapid7, sobre CVE-2024-43582.

Ciberseguridad

“Un lado positivo: la complejidad del ataque es alta, ya que el atacante debe ganar una condición de carrera para acceder a la memoria de forma incorrecta”.

Parches de software de otros proveedores

Fuera de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La luna de miel sale mal: Singapur detiene a una pareja por protestar contra el dueño del club favorito Valencia
Next: La emigración femenina siempre ha existido, pero la de los años 2000 tiene motivaciones muy diferentes: el libro lo explica "En las alas del cambio. Narrativas femeninas de la emigración italiana contemporánea." por la ensayista Loredana Cornero

Related Stories

Microsoft corrige el bug de Windows 11 que saturaba los
  • Tecnología

Microsoft corrige el bug de Windows 11 que saturaba los SSD

teknomers 15 de Temmuz de 2026
OpenAI embarazada de IA: proyecto de hardware con Jony Ive,
  • Tecnología

OpenAI embarazada de IA: proyecto de hardware con Jony Ive, lanzamiento previsto en 2027 frente a Apple

teknomers 15 de Temmuz de 2026
Windows, Bing, Copilot: cómo Microsoft te impulsa una y otra
  • Tecnología

Windows, Bing, Copilot: cómo Microsoft te impulsa una y otra vez hacia su navegador Edge

teknomers 15 de Temmuz de 2026

You May Have Missed

  • General

Ataque a un barco mercante en el estrecho de Ormuz: el cuerpo de un marinero indio ha sido encontrado, el resto de la tripulación rescatado

teknomers 15 de Temmuz de 2026
  • Cultura

Mr Brainwash, artista callejero de renombre mundial, expone este verano en una galería toulousaina

teknomers 15 de Temmuz de 2026
Microsoft corrige el bug de Windows 11 que saturaba los
  • Tecnología

Microsoft corrige el bug de Windows 11 que saturaba los SSD

teknomers 15 de Temmuz de 2026
«No tengo ganas de pasar por estos momentos de desesperación»:
  • salud

«No tengo ganas de pasar por estos momentos de desesperación»: sueño, lectura de llantos, relajación… Una ariégeoise lanza una caja de regalo para ayudar a los padres a vivir el nacimiento de su hijo

teknomers 15 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.