Microsoft y Adobe acaban de publicar las actualizaciones de su martes de parches de abril. Este mes solucionan el relativamente modesto número de 71 vulnerabilidades CVE, 15 de las cuales están consideradas críticas.
Pero hay bastantes cosas por las que preocuparse, razón por la cual comenzamos con las dos vulnerabilidades día cero que Microsoft dice que están siendo explotadas activamente.
Días cero
En este caso las vulnerabilidades día cero que se solucionan son las CVE-2019-0803 y CVE-2019-0859, ambas consisten en un problema de elevación de privilegios relacionado con el componente Win32k.
Microsoft da pocos detalles sobre cómo están siendo explotadas, pero ambas requieren acceso local por lo que están calificadas como “importantes” y no “críticas”.
Esto puede significar que están relacionadas con otras vulnerabilidades conocidas o no, por lo que aplicar el parche debería ser de alta prioridad.
Críticas y más allá
Las 14 vulnerabilidades marcadas como críticas, a menudo un eufemismo de ejecución de código remoto (RCE), incluyen 6 en el Chakra Scripting Engine del navegador Edge, que habitualmente genera muchas vulnerabilidades.
3 RCEs (CVE-2019-0791, CVE-2019-0792 y CVE-2019-0793) afectan a Microsoft XML , acentuando la amenaza planteada por los atacantes quienes pueden atraer a sus víctimas a web maliciosas a través de componentes vulnerables del navegador.
Otros parches incluyen CVE-2019-0853, una RCE crítica en el Windows Graphics Device Interface (GDI) relacionada con la gestión de objetos en la memoria. Lo mismo con CVE-2019-0824, CVE-2019-0825 y CVE-2019-0827, un trío de vulnerabilidades calificadas como importantes que afectan al Microsoft Office Access Connectivity Engine, y CVE-2019-0856, un problema con el Windows Remote Registry Service.
Tiene menos importancia media docena de vulnerabilidades en VBScript de Internet Explorer, un componente obsoleto que todavía se encuentra en Windows 10, aunque debería estar bloqueado por defecto en esa versión Windows.
SophosLabs RCE
Una vulnerabilidad solucionada, CVE-2019-0845, fue descubierta por Yaniv Frank del equipo Offensive Research de SophosLabs. Pese a ser complicado de explotar, se trata de un problema en el control de ActiveX IOleCvt que podría derivar en una RCE.
El fin de Shockwave
Tras un marzo tranquilo, la actualización de Adobe de este mes tiene una carga más habitual. Esta vez son 21 CVE, 11 de las cuales son actualizaciones críticas para Adobe Reader. También encontramos 2 vulnerabilidades en Flash Player, una de las cuales, CVE-2019-7096, es crítica.
Este mes también supone el fin para Shockwave Player. La última versión parcheada será la 12.3.5.205 como se indicaba en APSB19-20. A partir de ahora, los únicos que recibirán actualizaciones serán las empresas con licencia.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario