Microsoft parchea 80 vulnerabilidades, incluidas dos de día cero

El Patch Tuesday de septiembre de Microsoft solucionó 80 vulnerabilidades (CVE), 17 de las cuales fueron calificadas como críticas e incluyeron parches para Azure DevOps Server, el motor de Chakra Scripting y Microsoft SharePoint. Otras 62 fueron etiquetadas como importantes e incluyeron parches para Microsoft Excel, Microsoft Edge y Microsoft Exchange, y solo una fue calificada como moderada.

Continuando con la tendencia del mes pasado, varios de los parches críticos fueron para Remote Desktop Clients y cubren las vulnerabilidades de ejecución remota de código (RCE) CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 y CVE-2019-1291. Estas siguen las correcciones de los meses anteriores para BlueKeep y DejaBlue. En estas últimas vulnerabilidades el atacante necesitaría usar cierto grado de ingeniería social para convencer a los usuarios de conectarse a su servidor Remote Desktop Services (RDS) controlado.

Microsoft también parcheó dos zero-days, CVE-2019-1214 y CVE-2019-1215, que son vulnerabilidades de elevación de privilegios. CVE-2019-1215 existe en la forma en que Winsock maneja los objetos en la memoria y permitiría a los atacantes ejecutar código usando privilegios elevados. CVE-2019-1214 existe en la forma en que el Common Log File System de Windows (CLFS) maneja objetos en la memoria y permitiría a un hacker ejecutar procesos en un contexto elevado.

Microsoft también parcheó componentes del navegador, específicamente para VBScript y Chakra Scripting Engine. Para VBScript, estas vulnerabilidades RCE están etiquetadas como CVE-2019-1208 y CVE-2019-1236. Para Chakra Scripting Engine, son CVE-2019-1138, CVE-2019-1217, CVE-2019-1237, CVE-2019-1298 y CVE-2019-1300. Dichas vulnerabilidades afectan a Microsoft Edge, y un atacante que aproveche con éxito estas vulnerabilidades podría obtener los mismos derechos que el usuario original. El parche modifica cómo Chakra maneja los objetos en la memoria, donde se pueden encontrar estas vulnerabilidades.