Microsoft ha corregido en su conjunto de actualizaciones Parche del Martes 51 vulnerabilidades halladas en sus productos, abarcando Windows, Microsoft Edge, Internet Explorer, la suite ofimática Microsoft Office y mucho más, además de Flash.

En esta ocasión no se ha mostrado ninguna vulnerabilidad zero-day y destacan las nuevas mitigaciones contra la variante 4 de Spectre, que ya cubrimos en su momento en MuySeguridad tras ser reconocida por Intel. Además de eso, el gigante de Redmond ha corregido la vulnerabilidad crítica CVE-2018-8225, que se trata de una ejecución de código en remoto que afecta a DNSAPI de Windows y permitía a un atacante ejecutar código arbitrario en el contexto del usuario local utilizando un servidor de DNS malicioso que enviara respuestas de DNS corruptas al objetivo. Afecta a todas las versiones del sistema operativo Windows y no se constancia de que haya sido activamente explotada.

Otra vulnerabilidad crítica parcheada ha sido la CVE-2018-8231, que era una de ejecución de código en remotoque podía ser explotada cuando el Conjunto de Protocolo HTTP (Http.sys) manejaba de forma incorrecta objetos en la memoria, abriendo así la puerta a la ejecución de código arbitrario para tomar el control del sistema afectado. Para ello, el atacante tenía que enviar un fichero específicamente diseñado a un servidor HTTP.sys. Solo afectaba a los usuarios de Windows 10, Windows Server 2016 y Windows Server versiones 1709 y 1803.

Además de su gran catálogo de productos propios, Microsoft también suele proporcionar parches para una tecnología de terceros muy popular (ahora no tanto) pero que tradicionalmente ha sido muy problemática en términos de seguridad: Flash. Concretamente, el gigante de Redmond ha publicado mediante sus actualizaciones un parche contra la vulnerabilidad CVE-2018-5002, que ya cubrimos en su momento.

Parece que en esta ocasión el paquete mensual de parches de seguridad ha sido algo menos “movido” que en anteriores ocasiones. Aun así, eso no es motivo para bajar la guardia por parte de Microsoft, más en un contexto en el que la ciberseguridad se enfrenta a más retos que nunca y frentes que estuvieron aparentemente descuidados durante mucho tiempo, como los procesadores.