Microsoft lanzó hoy actualizaciones de seguridad para corregir al menos 117 agujeros de seguridad en computadoras con Windows y otro software, incluidas dos vulnerabilidades que ya están experimentando ataques activos. Además, Adobe solucionó 52 agujeros de seguridad en una variedad de productos y Apple solucionó un error en su nueva actualización macOS 15 “Sequoia” que rompía muchas herramientas de ciberseguridad. Una de las fallas de día cero, CVE-2024-43573, surge de una falla de seguridad en MSHTML, el motor propietario del navegador web Internet Explorer de Microsoft. Si esto le suena familiar es porque esta es la cuarta vulnerabilidad MSHTML explotada en lo que va de 2024. Nikolas Cemerikic, ingeniero de ciberseguridad de Immersive Labs, dijo que la vulnerabilidad permite a un atacante engañar a los usuarios para que vean contenido web malicioso, lo que podría parecer legítimo gracias a la forma en que Windows maneja ciertos elementos web. «Una vez que se engaña a un usuario para que interactúe con este contenido (normalmente mediante ataques de phishing), el atacante puede potencialmente obtener acceso no autorizado a información confidencial o manipular servicios basados ​​en la web», dijo. Cemerikic señaló que si bien Internet Explorer se está retirando de muchas plataformas, su tecnología MSHTML subyacente sigue activa y vulnerable. «Esto crea un riesgo para los empleados que utilizan estos sistemas más antiguos como parte de su trabajo diario, especialmente si acceden a datos confidenciales o realizan transacciones financieras en línea», dijo. Probablemente el día cero más grave de este mes sea CVE-2024-43572, un error de ejecución de código en Microsoft Management Console, un componente de Windows que brinda a los administradores del sistema una forma de configurar y monitorear el sistema. Satnam Narang, ingeniero senior de investigación de Tenable, observó que el parche para CVE-2024-43572 llegó unos meses después de que investigadores de Elastic Security Labs revelaran una técnica de ataque llamada GrimResource que aprovechaba una antigua vulnerabilidad de secuencias de comandos entre sitios (XSS) combinada con un archivo Microsoft Saved Console (MSC) especialmente diseñado para obtener privilegios de ejecución de código. «Aunque Microsoft parchó una vulnerabilidad MMC diferente en septiembre (CVE-2024-38259) que no fue explotada en la naturaleza ni divulgada públicamente», dijo Narang. «Desde el descubrimiento de CVE-2024-43572, Microsoft ahora impide que se abran en un sistema archivos MSC que no son de confianza». Microsoft también parchó Office, Azure, .NET, OpenSSH para Windows; Poder BI; Windows Hyper-V; Banda ancha móvil de Windows y Visual Studio. Como es habitual, SANS Internet Storm Center tiene una lista de todos los parches de Microsoft lanzados hoy, indexados por gravedad y explotabilidad. A fines del mes pasado, Apple lanzó macOS 15, una actualización del sistema operativo llamada Sequoia que rompió la funcionalidad de las herramientas de seguridad fabricadas por varios proveedores, incluidos CrowdStrike, SentinelOne y Microsoft. El 7 de octubre, Apple lanzó una actualización para los usuarios de Sequoia que soluciona estos problemas de compatibilidad. Finalmente, Adobe ha lanzado actualizaciones de seguridad para solucionar un total de 52 vulnerabilidades en una variedad de software, incluidos Adobe Substance 3D Painter, Commerce, Dimension, Animate, Lightroom, InCopy, InDesign, Substance 3D Stager y Adobe FrameMaker. Considere hacer una copia de seguridad de los datos importantes antes de aplicar cualquier actualización. Dejando a un lado los días cero, generalmente hay poco daño en esperar unos días para aplicar los parches pendientes, porque no es infrecuente que una actualización de seguridad introduzca problemas de estabilidad o compatibilidad. AskWoody.com generalmente tiene información sobre los parches problemáticos. Y como siempre, si encuentra algún problema técnico después de instalar parches, deje una nota en los comentarios; Es probable que alguien más esté atrapado con el mismo problema e incluso haya encontrado una solución.