El gigante tecnol\u00f3gico Microsoft lanz\u00f3 su \u00faltimo conjunto de actualizaciones de seguridad mensuales para 2022 con arreglos para 49 vulnerabilidades<\/a> en todos sus productos de software.<\/p>\n De los 49 errores, seis se califican como Cr\u00edticos, 40 como Importantes y tres como Moderados en gravedad. Las actualizaciones se suman a 24 vulnerabilidades<\/a> que se han abordado en el navegador Edge basado en Chromium desde principios de mes.<\/p>\n El martes de parches de diciembre cubre dos vulnerabilidades de d\u00eda cero, una que se explota activamente y otro problema que se menciona como divulgado p\u00fablicamente en el momento del lanzamiento.<\/p>\n El primero se relaciona con CVE-2022-44698<\/a> (puntaje CVSS: 5.4), uno de los tres problemas de omisi\u00f3n de seguridad<\/a> en Windows SmartScreen que podr\u00eda ser explotado por un actor malicioso para evadir las protecciones de marca de la web (MotW).<\/p>\n Vale la pena se\u00f1alar que este problema, junto con CVE-2022-41091 (puntaje CVSS: 5.4), se ha observado que los actores del ransomware Magniber explotan este problema para entregar archivos JavaScript no autorizados dentro de archivos ZIP.<\/p>\n “Permite a los atacantes crear documentos que no ser\u00e1n etiquetados con la ‘Marca de la Web’ de Microsoft a pesar de ser descargados de sitios no confiables”, dijo Greg Wiseman de Rapid7. “Esto significa que no hay vista protegida para los documentos de Microsoft Office, lo que facilita que los usuarios hagan cosas incompletas como ejecutar macros maliciosas”.<\/p>\n Divulgado p\u00fablicamente, pero no visto explotado activamente, es CVE-2022-44710<\/a> (Puntuaci\u00f3n CVSS: 7,8), una falla de elevaci\u00f3n de privilegios en DirectX Graphics Kernel que podr\u00eda permitir que un adversario obtenga privilegios de SISTEMA.<\/p>\n “La explotaci\u00f3n exitosa de esta vulnerabilidad requiere que un atacante gane una condici\u00f3n de carrera”, se\u00f1al\u00f3 Microsoft en un aviso.<\/p>\n Microsoft tambi\u00e9n corrigi\u00f3 varios errores de ejecuci\u00f3n remota de c\u00f3digo en Microsoft Dynamics NAV, Microsoft SharePoint Server, PowerShell, Windows Secure Socket Tunneling Protocol (SSTP), .NET Framework, Contacts y Terminal.<\/p>\n Adem\u00e1s, la actualizaci\u00f3n tambi\u00e9n resuelve 11 vulnerabilidades de ejecuci\u00f3n remota de c\u00f3digo en Microsoft Office Graphics, OneNote y Visio, todas las cuales tienen una calificaci\u00f3n de 7,8 en el sistema de puntuaci\u00f3n CVSS.<\/p>\n Dos de las 19 fallas de elevaci\u00f3n de privilegios corregidas este mes incluyen correcciones para el componente Windows Print Spooler (CVE-2022-44678<\/a> y CVE-2022-44681<\/a>puntaje CVSS: 7.8), continuando con un flujo constante de parches lanzados por la compa\u00f1\u00eda durante el a\u00f1o pasado.<\/p>\n Por \u00faltimo, pero no menos importante, Microsoft ha asignado la etiqueta “Explotaci\u00f3n m\u00e1s probable” a la vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo de PowerShell (CVE-2022-41076<\/a>puntaje CVSS: 8.5) y falla de escalada de privilegios de Windows Sysmon (CVE-2022-44704<\/a>puntaje CVSS: 7.8), por lo que es esencial que los usuarios apliquen actualizaciones para mitigar amenazas potenciales.<\/p>\n Adem\u00e1s de Microsoft, otros proveedores tambi\u00e9n han lanzado actualizaciones de seguridad en las \u00faltimas dos semanas para corregir varias vulnerabilidades, que incluyen:<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades.png\")
<\/a><\/center><\/div>\nParches de software de otros proveedores<\/h3>\n