El tren del martes de parches de Microsoft retumbó en las redes de Windows con soluciones para 51 vulnerabilidades de seguridad documentadas, algunas lo suficientemente graves como para causar ataques completos de toma de control de la computadora.
Además de los 51 CVE corregidos con el lanzamiento programado de este mes, Redmond también corrigió alrededor de 20 defectos de seguridad diferentes en su navegador web Microsoft Edge (basado en Chromium).
Según los datos del Centro de respuestas de seguridad de Microsoft (MSRC), no se abordan los días cero en estado salvaje con las actualizaciones de febrero. Sin embargo, existe un código de prueba de concepto para un error de elevación de privilegios (CVE-2022-21989) en el kernel de Windows.
“Se podría realizar un ataque exitoso desde un AppContainer con privilegios bajos. El atacante podría elevar sus privilegios y ejecutar código o acceder a recursos a un nivel de integridad más alto que el del entorno de ejecución de AppContainer”, advirtió Microsoft en un aviso. El error del kernel se califica como "importante" con un puntaje CVSS de 7.8.
La lista de vulnerabilidades de este mes afecta a una amplia gama de productos y componentes de Windows, incluidos problemas de ejecución remota de código en el servidor DNS de Windows, Windows Hyper-V, Microsoft SharePoint, HEVC Video Extensions, Microsoft Dynamics 365 y Microsoft Office.
Microsoft también proporcionó cobertura para una vulnerabilidad de seguridad de Office para Mac que permite la explotación a través del Panel de vista previa para exponer datos confidenciales del usuario.
Por separado, Adobe lanzó parches para más de una docena de vulnerabilidades de seguridad en sus programas de software Illustrator, Photoshop, After Effects, Creative Cloud y Premiere Rush.
Adobe dijo que no estaba al tanto de ningún ataque que explotara estas vulnerabilidades.
Relacionado: Microsoft llama la atención sobre la falla de Windows 'Wormable'
Relacionado: Adobe se une a Security Patch Tuesday Frenzy
Relacionado: Martes de parches de Microsoft: falla de Windows bajo ataque activo
Ryan Naraine es editor general de SecurityWeek y presentador de la popular Conversaciones de seguridad Serie Podcast. Es periodista y estratega de ciberseguridad con más de 20 años de experiencia cubriendo tendencias tecnológicas y de seguridad de TI.
Ryan ha creado programas de compromiso de seguridad en las principales marcas mundiales, incluidas Intel Corp., Bishop Fox y Kaspersky GReAT. Es cofundador de Threatpost y de la serie de conferencias globales SAS. La carrera de Ryan como periodista incluye firmas en las principales publicaciones de tecnología, incluidas Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag y PC World.
Ryan es director de la organización sin fines de lucro Security Tinkerers y un orador habitual en conferencias de seguridad en todo el mundo.
Sigue a Ryan en Twitter @ryanaraine.
Tags:
