Microsoft, Adobe, Apple, CISCO, SAP, VMware, solucionan Zero-Days (Actualiza YA!)

Con la actualización de de mayo de 2021, Microsoft ha solucionado 55 vulnerabilidades, con cuatro clasificadas como críticas, 50 como importantes y una como moderada. Además, la empresa confirma que solucionó tres vulnerabilidades Zero-Day.

Para obtener información sobre las actualizaciones de Windows que no son de seguridad, se puede leer acerca de las actualizaciones acumulativas de Windows 10 KB5003169 & KB5003173 cumulative updates.

Las cuatro vulnerabilidades críticas solucionan problemas de día cero que se divulgaron públicamente, aunque no se sabe que hayan sido utilizadas en ataques in-the-wild.

• CVE-2021-31166 (crítica) - HTTP.sys Protocol Stack Remote Code Execution Vulnerability
• CVE-2021-26419 (crítica) - Scripting Engine Memory Corruption Vulnerability en Internet Explorer.
• CVE-2021-28476 (crítica) - Remote Code Execution Vulnerability en Hyper-V 
• CVE-2021-31194 (crítica) - OLE Automation Remote Code Execution Vulnerability

Otras vulnerabilidades importantes a tener en cuenta:

• CVE-2021-31204 - .NET and Visual Studio Elevation of Privilege Vulnerability
• CVE-2021-31207 - cinco vulnerabilidades en Microsoft Exchange Server Security Feature Bypass Vulnerability. Una de estas fue utilizada por en el desafío de Pwn2Own de 2021. No está claro si es la vulnerabilidad revelada por Devcore o Team Viettel.
• CVE-2021-31200 - Common Utilities Remote Code Execution Vulnerability. Esta vulnerabilidad es para el kit de herramientas NNI (Neural Network Intelligence) de Microsoft y fue revelada por Abhiram V de Resec System en GitHub.

Se espera que los actores de amenazas analicen los parches para crear exploits para las vulnerabilidades, especialmente la de Microsoft Exchange. Por lo tanto, es vital aplicar las actualizaciones de seguridad lo antes posible.

Actualizaciones recientes de otras empresas

• Adobe lanzó actualizaciones de seguridad para Adobe Creative Cloud Desktop, Framemaker y Connect. Especialmente el CVE-2021-28550 que es una vulnerabilidad use-after-free que se ha estado explotando en Windows.
• Las actualizaciones de seguridad de mayo de Android se lanzaron la semana pasada.
• Apple lanzó actualizaciones de seguridad para iOS, macOS, iPadOS, watchOS y Safari que corrigieron las vulnerabilidades de Webkit explotadas activamente.
• Cisco lanzó actualizaciones de seguridad para numerosos productos este mes.
• SAP lanzó sus actualizaciones de seguridad de mayo de 2021.
• VMware lanzó actualizaciones de seguridad en mayo [1, 2].

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, se puede ver el informe completo aquí.

Fuente: BC

Suscríbete a nuestro Boletín