Microsoft Corp. lanzó hoy actualizaciones para corregir al menos 79 vulnerabilidades de seguridad en sus sistemas operativos Windows y software relacionado, incluidas múltiples fallas que ya están apareciendo en ataques activos. Microsoft también corrigió un error crítico que ha causado que algunas PC con Windows 10 permanezcan peligrosamente sin parches contra vulnerabilidades explotadas activamente durante varios meses este año. La vulnerabilidad de seguridad más curiosa que Microsoft ha revelado hoy tiene el nombre de CVE-2024-43491, que según Microsoft es una vulnerabilidad que provocó la reversión de correcciones para algunas vulnerabilidades que afectaban a “componentes opcionales” en ciertos sistemas Windows 10 producidos en 2015. Entre ellos se incluyen los sistemas Windows 10 que instalaron la actualización de seguridad mensual para Windows lanzada en marzo de 2024 u otras actualizaciones lanzadas hasta agosto de 2024. Satnam Narang, ingeniero de investigación sénior de Tenable, dijo que si bien la frase “explotación detectada” en un aviso de Microsoft normalmente implica que la falla está siendo explotada por ciberdelincuentes, aparece etiquetada de esta manera con CVE-2024-43491 porque la reversión de correcciones reintrodujo vulnerabilidades que previamente se sabía que se explotaban. “Para corregir este problema, los usuarios deben aplicar tanto la actualización de la pila de servicio de septiembre de 2024 como las actualizaciones de seguridad de Windows de septiembre de 2024”, dijo Narang. Kev Breen, director senior de investigación de amenazas en Immersive Labs, dijo que la causa principal de CVE-2024-43491 es que en versiones específicas de Windows 10, los números de versión de compilación que verifica el servicio de actualización no se manejaron correctamente en el código. «Las notas de Microsoft dicen que los ‘números de versión de compilación cruzaron en un rango que desencadenó un defecto de código'», dijo Breen. «La versión corta es que algunas versiones de Windows 10 con componentes opcionales habilitados quedaron en un estado vulnerable». El día cero # 1 de este mes es CVE-2024-38226, y se refiere a una debilidad en Microsoft Publisher, una aplicación independiente incluida en algunas versiones de Microsoft Office. Esta falla permite a los atacantes eludir la «Marca de la Web» de Microsoft, una característica de seguridad de Windows que marca los archivos descargados de Internet como potencialmente inseguros. El día cero # 2 es CVE-2024-38217, también una omisión de la Marca de la Web que afecta a Office. Ambos fallos de día cero se basan en que el objetivo abre un archivo de Office con trampa explosiva. La empresa de seguridad Rapid7 señala que CVE-2024-38217 se ha divulgado públicamente a través de un extenso artículo, con código de explotación también disponible en GitHub. Según Microsoft, CVE-2024-38014, un error de «elevación de privilegios» en Windows Installer, también se está explotando activamente. La cobertura de junio de Microsoft Patch Tuesday se tituló «Recall Edition», porque la gran noticia en ese momento era que Microsoft se enfrentaba a un torrente de críticas de los expertos en privacidad y seguridad por «Recall», una nueva función de inteligencia artificial (IA) de los PC insignia Copilot+ de Redmond que constantemente toma capturas de pantalla de lo que los usuarios están haciendo en sus computadoras. En ese momento, Microsoft respondió sugiriendo que Recall ya no estaría habilitado de forma predeterminada. Pero la semana pasada, el gigante del software aclaró que lo que realmente quería decir era que la capacidad de deshabilitar Recall era un error/función en la versión preliminar de Copilot+ que no estará disponible para los clientes de Windows en el futuro. Traducción: Las nuevas versiones de Windows se están distribuyendo con Recall profundamente integrado en el sistema operativo. Es bastante curioso que Microsoft, que ya recopila una cantidad descabellada de información de sus clientes de forma casi constante, esté llamando a la función de eliminación de Recall un error, mientras que trata a Recall como una función deseable. Porque desde mi punto de vista, Recall es una función que nadie pidió y que convierte a Windows en un error (del tipo de vigilancia). Cuando Redmond respondió por primera vez a las críticas sobre Recall, señalaron que las instantáneas de Recall nunca salen del sistema del usuario y que incluso si los atacantes lograran piratear una PC Copilot+ no podrían exfiltrar los datos de Recall en el dispositivo. Pero esa afirmación sonó falsa después de que el ex analista de amenazas de Microsoft Kevin Beaumont detallara en su blog cómo cualquier usuario del sistema (incluso un no administrador) puede exportar datos de Recall, que simplemente se almacenan en una base de datos SQLite localmente. Como suele ocurrir en el martes de parches de Microsoft, Adobe ha publicado actualizaciones para solucionar vulnerabilidades de seguridad en una serie de productos, incluidos Reader y Acrobat, After Effects, Premiere Pro, Illustrator, ColdFusion, Adobe Audition y Photoshop. Adobe afirma que no tiene conocimiento de ningún exploit que pueda solucionar ninguno de los problemas abordados en sus actualizaciones. ¿Busca un desglose más detallado de los parches publicados por Microsoft hoy? Consulte la lista completa del SANS Internet Storm Center. Las personas responsables de administrar muchos sistemas en un entorno empresarial deberían estar atentos a AskWoody.com, que a menudo tiene información sobre los parches de Windows defectuosos que pueden estar causando problemas a algunos usuarios. Como siempre, si experimenta algún problema al aplicar el lote de parches de este mes, considere dejar una nota en los comentarios aquí al respecto.