Microsoft y Adobe publican actualizaciones críticas de seguridad debido a un total de 68 vulnerabilidades por parte de Microsoft.  Double Kill es la más importante.

Después de un descanso en abril, las vulnerabilidades día cero han regresado en el martes de parches de mayo de Microsoft.

La más importante es una vulnerabilidad de ejecución de código remoto en el motor VBScript que afecta a todas las versiones de Windows, siendo la empresa de seguridad china Qihoo quien detectó por primera vez que estaba siendo utilizada por cibercriminales patrocinados por un gobierno.

Llamada “Double Kill” (CVE-2018-8174), puede ser desplegada de varias maneras, incluyendo atraer a un usuario de Internet Explorer a un sitio malicioso con VBScript embebido, empleando un control ActiveX marcado como “seguro para inicializar”, o vía un fichero RTF malicioso incrustado en un documento Office.

Cualquiera de estos escenarios otorga al atacante control sobre el ordenador de la víctima que le permitiría el robo de datos, espionaje o implementar ransomware, según afirma Microsoft, por lo que se debe aplicar el parche con urgencia.

El siguiente día cero es CVE-2018-8120, una vulnerabilidad de elevación de privilegios en el subsistema Win32k de Windows 7 32/64-bit y Windows Server 2008 R2.

Microsoft no ha explicado como estaba siendo explotada, pero el tener este tipo de vulnerabilidad es oro puro para los cibercriminales, por lo que cualquiera que tenga Windows 7 también debería instalar el parche lo antes posible.

Hay otras dos que merecen ser mencionadas, CVE-2018-8141 una vulnerabilidad de revelación de información del kernel que afecta Windows 10 1709 y CVE-2018-8170, una vulnerabilidad de elevación de privilegios para Windows 1709 y 1703 32-bit.

Ambas están calificadas como importantes en vez de críticas pero existe información pública sobre ellas sin que exista constancia de que estén siendo utilizadas activamente.

El recuento de vulnerabilidades en la actualización de mayo de Microsoft asciende a 68 CVEs, 21 de ellas son críticas, 45 importantes y solo 2 de bajo impacto.

De las demás marcadas como críticas, tenemos una que afecta a un tema de navegador que contiene una docena de problemas de corrupción de memoria afectando a Internet Explore y Edge, además de otras cuatro que afectan al motor de JavaScript Chakra de Edge.