- Los funcionarios de Redmond abordaron muchos problemas con el lanzamiento de este mes, más de lo esperado.
- La vulnerabilidad que afecta a Microsoft Exchange Server se trató como crítica.
- También se consideró crítico un importante vulnerabilidad que realmente se encontró en Microsoft Excel.
- Este artículo contiene la lista completa de actualizaciones de seguridad que se publicaron en noviembre de 2021.
Sí, es esa época del mes nuevamente, y Microsoft ha lanzado 55 correcciones de seguridad, incluidos parches que abordan las vulnerabilidades de día cero explotadas activamente en la naturaleza.
La última ronda de parches del gigante tecnológico tiene correcciones para seis vulnerabilidades críticas, 15 errores de ejecución remota de código (RCE), fugas de información y fallas de seguridad de elevación de privilegios, así como problemas que podrían llevar a suplantación y manipulación.
Microsoft Azure, el navegador Edge basado en Chromium, Microsoft Office y sus productos asociados, Visual Studio, Exchange Server, Windows Kernel y Windows Defender son algunos de los productos a los que se dirige el parches.
Se corrigieron quince errores de ejecución de código remoto
Otro mes ajetreado para los programadores y desarrolladores de Redmond, ya que siguen luchando contra problemas antiguos y que surgen constantemente.
Si bien algunos asuntos solo necesitaban ajustes menores, otros eran de suma importancia y fueron tratados como tales por la empresa de tecnología.
Algunas de las vulnerabilidades más interesantes resueltas en esta actualización, todas consideradas importantes, son:
- CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). Bajo un exploit activo, esta vulnerabilidad afecta a Microsoft Exchange Server y, debido a una validación incorrecta de los argumentos del cmdlet, puede conducir a RCE. Sin embargo, los atacantes deben estar autenticados.
- CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). También detectada como explotada en la naturaleza, esta vulnerabilidad se encontró en Microsoft Excel y puede usarse para eludir los controles de seguridad. Microsoft dice que el Panel de vista previa no es un vector de ataque. Actualmente, no hay ningún parche disponible para Microsoft Office 2019 para Mac o Microsoft Office LTSC para Mac 2021.
- CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). Una vulnerabilidad del visor 3D hecha pública, este error puede explotarse localmente para activar RCE.
- CVE ‑ 2021‑43208: (CVSS: 3,1 7,8 / 6,8). Otro problema conocido, esta falla de seguridad del visor 3D también puede ser armada por un atacante local con fines de ejecución de código.
- CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). También hecho público, esta falla de seguridad, que se encuentra en el Protocolo de escritorio remoto de Windows (RDP), se puede utilizar para la divulgación de información.
- CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Finalmente, esta vulnerabilidad de RDP, conocida antes de que el parche estuviera disponible, también se puede explotar localmente para forzar una fuga de información.
Este es un número relativamente bajo de vulnerabilidades resueltas durante el mes de noviembre, comparando esta versión con las de años anteriores.
El mes pasadoMicrosoft resolvió 71 errores, por lo que podemos considerar este período bastante tranquilo. De particular interés son los parches para un total de cuatro defectos de día cero, uno de los cuales estaba siendo explotado activamente en la naturaleza, mientras que tres se hicieron públicos.
Si retrocedemos un poco más en el tiempo, Microsoft abordó más de 60 vulnerabilidades durante el martes de parche de septiembre. Entre los parches se encontraba una solución para un RCE en MSHTML.
Y no olvidemos que junto con el lanzamiento del software Patch Tuesday de Microsoft, hay otras empresas que también han publicado actualizaciones de seguridad, como:
- Adobe actualizaciones de seguridad
- SAVIA actualizaciones de seguridad
- VMWare avisos de seguridad
- Intel actualizaciones de seguridad
¿Ha estado luchando con alguno de los errores y errores enumerados en este artículo? Háganos saber en la sección de comentarios.
