Seis vulnerabilidades In-the-Wild parcheados en junio por Microsoft

La actualización de seguridad de Microsoft de junio tiene solo 49 correcciones de vulnerabilidades, más cinco correcciones sincronizadas entregadas por Adobe. Las correcciones de seguridad abordan cinco vulnerabilidades críticas, incluidas las secuencias de comandos y los errores de Defender, y una falla explotada activamente en MSHTML.

Los cinco parches críticos son para errores que son potencialmente explotables para la ejecución remota de código (RCE). Y uno de ellos, una vulnerabilidad en MSHTML, el motor de navegador propietario desarrollado originalmente para Internet Explorer que permanece como un componente de algunas aplicaciones de renderizado HTML, ya está siendo explotado.

Microsoft también impulsó una solución para una vulnerabilidad de elevación de privilegios en el navegador Microsoft Edge basado en Chromium (CVE-2021-33741) el 4 de junio. Esa vulnerabilidad, también reportada en Chrome, ya estaba siendo explotada activamente.

El error de Windows MSHTML (CVE-2021-33742) es de gran preocupación, ya que ya está siendo explotado activamente por actores malintencionados. Una página web maliciosa visitada por una aplicación que usa el motor HTML de Internet Explorer podría usarse para ejecutar comandos en el sistema afectado; esto podría suceder dentro del contexto del navegador, dentro de un correo electrónico o cualquier otra aplicación que use el motor MSHTML para renderizar HTML contenido. La actualización incluye actualizaciones acumulativas de Internet Explorer en Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows 8.1 y Windows Server 2012 R2, y en EdgeHTML (utilizado para admitir el modo Internet Explorer en el navegador Edge) en versiones más recientes de Windows.

Otros dos errores críticos son de particular interés. El primero es CVE-2021-31959, una vulnerabilidad de corrupción de memoria en el motor de Scripting Chakra JScript. Al igual que el error en MSHTML, esta vulnerabilidad se aborda en la actualización acumulativa de Internet Explorer. Pero el motor JScript también es compatible con el soporte heredado, por lo que también se está parcheando en los sistemas operativos más nuevos. El segundo es CVE-2021-31985, una vulnerabilidad RCE en el software antimalware Defender de Microsoft; una vulnerabilidad similar fue parcheada en enero.

Dado que ambos componentes procesan archivos enviados desde fuera de la red y ya están en la lista de objetivos de muchos actores maliciosos, es más probable que sean explotados. La instalación de actualizaciones para estos componentes es la única mitigación de la vulnerabilidad del motor de secuencias de comandos.

Es menos probable que se exploten las otras vulnerabilidades de RCE a corto plazo, pero aún así requieren un parcheo inmediato. CVE-2021-31963 es una vulnerabilidad en SharePoint Server. El último error crítico es CVE-2021-31967, una falla en las extensiones de video VP9 de Microsoft (un códec de compresión de video utilizado por YouTube y otras plataformas de transmisión de video).

Si bien no se califica como crítico, hay cinco correcciones en las actualizaciones de este mes que abordan vulnerabilidades adicionales que ya están siendo explotadas por actores malintencionados. Cuatro de ellos son errores de Elevación de privilegios. Los dos primeros (CVE-2021-31199 y CVE-2021-31201) son vulnerabilidades en el proveedor criptográfico mejorado de Microsoft, uno de los componentes de soporte criptográfico de Windows. Los errores restantes de elevación de privilegios explotados activamente se encuentran en Windows NTFS (CVE-2021-31956) y en la biblioteca principal DWM de Microsoft (CVE-2021-33739). Y la vulnerabilidad restante conocida explotada es un error de divulgación de información en el kernel de Windows (CVE-2021-31955).

También hay otras siete vulnerabilidades de ejecución remota de código abordadas en las correcciones de junio calificadas como importantes por Microsoft. Además del error crítico mencionado anteriormente, también existe otro problema de RCE de SharePoint Server (CVE-2021-31966). También hay un RCE fijo en una extensión de administración para la plataforma de administración de dispositivos móviles Intune de Microsoft (CVE-2021-31980) y otro en el cliente de correo electrónico y calendario de Microsoft Outlook (CVE-2021-31949).

Los problemas restantes de ejecución remota de código se encuentran en dos aplicaciones de Microsoft conectadas a la representación tridimensional. Dos de ellos (CVE-2021-31942 y CVE-2021-31943) están en el software 3D Viewer de Microsoft, una herramienta que se utiliza para ver archivos de modelos tridimensionales en la PC o HoloLens. Hay tres errores de este tipo en otra aplicación de Microsoft, Paint 3D (CVE-2021-31945, CVE-2021-31945 y CVE-2021-31983).

Fuente: Sophos

Suscríbete a nuestro Boletín