Microsoft soluciona un fallo de Día Cero que se estaba explotando
- Vulnerabilidades
Microsoft ha parcheado una vulnerabilidad de Día Cero que ya se estaba explotando en versiones antiguas de Windows como parte de su actualización de seguridad los segundos martes de mes.
Por cuarto mes consecutivo, Microsoft soluciona una vulnerabilidad en Windows que ya se estaba explotando. El fallo de Día Cero que se soluciona ya se estaba utilizando en operaciones de ciberespionaje a nivel de estado-nación; se trata del CVE-2018-8611, y consiste en una escalada de privilegios en el kernel de Windows. Explica Microsoft que, de tener éxito, el fallo permitiría a un atacante ejecutar código arbitrario, incluido instalar programas; ver, cambiar o borrar datos, e incluso crear cuentas con todos los derechos”.
La compañía responsable de detectar el fallo ha sido Kaspersky Lab, que advierte que hay dos grupos de ciberespionaje abusando de la vulnerabilidad
Además, la actualización de seguridad de Microsoft para este mes soluciona nueve vulnerabilidades críticas, y 30 importantes que afectan a una serie de productos, desde Internet Explorer, Edge, ChackraCore, Microsoft Windows, Office y Microsoft Office Services y Web Apps, y .NET.
Cinco de las nueve vulnerabilidades críticas están vinculadas al motor de scripts Chakra de Microsoft, un motor de JavaScript desarrollado para el navegador web Edge. Cada una de las fallas son errores de corrupción de memoria que permitirían a un adversario ejecutar código arbitrario durante una sesión de usuario, elevar los derechos del usuario y, en última instancia, tomar el control del sistema afectado.