Microsoft ha lanzado parches para abordar un total de 90 vulnerabilidades de seguridad, incluyendo 10 zero-days, con seis de estas siendo explotadas activamente. De las 90 fallas, nueve son críticas, 80 son importantes y una es moderada en severidad. Este es un incremento significativo respecto a las 36 vulnerabilidades resueltas en el navegador Edge el mes anterior.
Las actualizaciones del Martes de Parches son notables por abordar seis zero-days activamente explotados, incluyendo CVE-2024-38189, CVE-2024-38178, CVE-2024-38193, CVE-2024-38106, CVE-2024-38107 y CVE-2024-38213.
La investigación ha llevado a la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) a incluir estas vulnerabilidades en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), lo que impulsa a las agencias federales a implementar las correcciones antes del 3 de septiembre de 2024.
Algunas de las CVEs, incluyendo CVE-2024-38200, CVE-2024-38199, CVE-2024-21302 y CVE-2024-38202, son catalogadas como públicamente conocidas.
Estas actualizaciones también abordan la falla de escalada de privilegios en el componente Print Spooler (CVE-2024-38198) y la vulnerabilidad CVE-2024-38173 que afecta a Microsoft Outlook. Además, se informó de una vulnerabilidad de denegación de servicio en el controlador del Sistema de Archivos de Registro Común (CLFS) (CVE-2024-6768).
Según Trend Micro, CVE-2024-38213 no es un bypass de CVE-2024-21412 y afecta a cualquier archivo compartido en WebDAV. Este fallo, conocido como copy2pwn, fue aprovechado por los operadores de DarkGate, según el Zero Day Initiative (ZDI).
Esto ofrece una visión detallada de la afectación y la importancia de las vulnerabilidades abordadas en las actualizaciones de seguridad de Microsoft.
Vía The Hacker News
