Microsoft ha abordado un total de 48 fallos de seguridad<\/a> que abarca su software como parte de sus actualizaciones del martes de parches para enero de 2024.<\/p>\n De los 48 errores, dos est\u00e1n clasificados como cr\u00edticos y 46 como importantes en cuanto a su gravedad. No hay evidencia de que alguno de los problemas sea de conocimiento p\u00fablico o est\u00e9 bajo ataque activo en el momento del lanzamiento, lo que lo convierte en el segundo martes de parches consecutivo sin d\u00edas cero.<\/p>\n Las correcciones se suman a nueve vulnerabilidades de seguridad<\/a> que se han resuelto en el navegador Edge basado en Chromium desde el lanzamiento de las actualizaciones del martes de parches de diciembre de 2023. Esto tambi\u00e9n incluye una soluci\u00f3n para un d\u00eda cero (CVE-2023-7024, puntuaci\u00f3n CVSS: 8,8) que, seg\u00fan Google, ha sido explotado activamente en la naturaleza.<\/p>\n Los fallos m\u00e1s cr\u00edticos corregidos este mes son los siguientes:<\/p>\n “La funci\u00f3n de autenticaci\u00f3n podr\u00eda omitirse ya que esta vulnerabilidad permite la suplantaci\u00f3n”, dijo Microsoft en un aviso para CVE-2024-20674.<\/p>\n “Un atacante autenticado podr\u00eda explotar esta vulnerabilidad estableciendo un ataque de m\u00e1quina en el medio (MitM) u otra t\u00e9cnica de suplantaci\u00f3n de red local, y luego enviando un mensaje Kerberos malicioso a la m\u00e1quina cliente v\u00edctima para simular ser el servidor de autenticaci\u00f3n Kerberos”.<\/p>\n Sin embargo, la compa\u00f1\u00eda se\u00f1al\u00f3 que una explotaci\u00f3n exitosa requiere que un atacante obtenga primero acceso a la red restringida. investigador de seguridad ldwilmore34<\/a> Se le atribuye el m\u00e9rito de descubrir e informar la falla.<\/p>\n CVE-2024-20700, por otro lado, no requiere autenticaci\u00f3n ni interacci\u00f3n del usuario para lograr la ejecuci\u00f3n remota de c\u00f3digo, aunque ganar una condici\u00f3n de carrera es un requisito previo para organizar un ataque.<\/p>\n “No est\u00e1 claro exactamente d\u00f3nde debe estar ubicado el atacante (la LAN en la que reside el hipervisor o una red virtual creada y administrada por el hipervisor) o en qu\u00e9 contexto se producir\u00eda la ejecuci\u00f3n remota del c\u00f3digo”, Adam Barnett, l\u00edder de software. ingeniero de Rapid7, dijo a The Hacker News.<\/p>\n Otros defectos notables incluyen CVE-2024-20653<\/a> (puntuaci\u00f3n CVSS: 7,8), una falla de escalada de privilegios que afecta al controlador del sistema de archivos de registro com\u00fan (CLFS), y CVE-2024-0056<\/a> (Puntuaci\u00f3n CVSS: 8,7), una omisi\u00f3n de seguridad que afecta a System.Data.SqlClient y Microsoft.Data.SqlClient.<\/p>\n “Un atacante que explotara con \u00e9xito esta vulnerabilidad podr\u00eda llevar a cabo un ataque de m\u00e1quina en el medio (MitM) y podr\u00eda descifrar y leer o modificar el tr\u00e1fico TLS entre el cliente y el servidor”, dijo Redmond.<\/p>\n Microsoft se\u00f1al\u00f3 adem\u00e1s que est\u00e1 deshabilitando la capacidad de insertar archivos FBX en Word, Excel, PowerPoint y Outlook en Windows de forma predeterminada debido a una falla de seguridad (CVE-2024-20677<\/a>puntuaci\u00f3n CVSS: 7,8) que podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n “Los modelos 3D en documentos de Office que se insertaron previamente desde un archivo FBX continuar\u00e1n funcionando como se esperaba a menos que se eligiera la opci\u00f3n ‘Vincular al archivo’ en el momento de la inserci\u00f3n”, dijo Microsoft en un alerta separada<\/a>. “GLB (formato de transmisi\u00f3n GL binario) es el formato de archivo 3D sustituto recomendado para usar en Office”.<\/p>\n Vale la pena se\u00f1alar que Microsoft tom\u00f3 una medida similar al deshabilitar el formato de archivo SketchUp (SKP) en Office despu\u00e9s El descubrimiento de ZScaler de 117 fallos de seguridad<\/a> en aplicaciones de Microsoft 365.<\/p>\n Adem\u00e1s de Microsoft, otros proveedores tambi\u00e9n han publicado actualizaciones de seguridad durante las \u00faltimas semanas para rectificar varias vulnerabilidades, entre ellas:<\/p>\n <\/p>\n\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/La-actualizacion-de-Windows-de-enero-de-2024-de-Microsoft.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\nParches de software de otros proveedores<\/h3>\n