Microsoft lanza nuevos parches para corregir vulnerabilidades Zero-Day en Excel y Exchange Server y acabar con fallos críticos de seguridad

El gigante norteamericano Microsoft sigue trabajando diligentemente para atajar algunos de los problemas de vulnerabilidad que presentan sus productos más usados. Productos como, por ejemplo, Office, Windows Hyper-V o Azure. La compañía de Redmond ha lanzado recientemente una nueva ronda de actualizaciones para abordar hasta 55 vulnerabilidades encontradas en los programas ya citados, así como Visual Studio o el propio S.O. Windows. Además, entre las actualizaciones se incluyen correcciones destinadas para solventar dos vulnerabilidades Zero Day en Excel y Exchange Server. Por desgracia, hablamos de dos vulnerabilidades de gran peligrosidad y explotadas de forma activa; según hemos podido saber, estas vulnerabilidades podrían permitir la toma de control del sistema afectado. Las 55 vulnerabilidad han sido catalogadas como críticas (seis de ellas) y de gravedad importante (49 de ellas). Dicho esto, vamos a profundizar un poco más en el tema. Microsoft lanza nuevos parches para corregir vulnerabilidades Zero-Day.

Las vulnerabilidades más criticáis corregidas son: CVE-2021-42321 calificada con un puntuación CVSS de 8.8, y CVE-2021-42292 calificada con una puntuación CVSS de 7.8. En el primer caso, hablamos de un fallo en la ejecución remota de código posterior a la autenticación en Microsoft Exchange Server; el segundo es una vulnerabilidad de omisión en la seguridad en las versiones 2013-2021 de Microsoft Excel. Además de estas vulnerabilidades, Microsoft ha abordado cuatro que se han dado a conocer de forma pública pero que, por suerte, no han llegado a a ser explotadas. Os dejamos una lista.

• CVE-2021-43208 – Puntuación CVSS 7.8: Vulnerabilidad de ejecución remota de código del visor 3D.
• CVE-2021-43209 – Puntuación CVSS 7.8: Vulnerabilidad de ejecución remota de código del visor 3D.
• CVE-2021-38631 – Puntuación CVSS 4.4: Vulnerabilidad de divulgación de información del Protocolo de Escritorio Remoto de Windows.
• CVE-2021-41371 – Puntuación CVSS 4.4: Vulnerabilidad de divulgación de información del Protocolo de Escritorio Remoto de Windows.

Otras vulnerabilidades corregidas por Microsoft

• Chakra Scripting Engine (CVE-2021-42279)
• Microsoft Defender (CVE-2021-42298)
• Microsoft Virtual Machine Bus (CVE-2021-26443)
• Cliente de Escritorio Remoto (CVE-2021-38666)
• Microsoft Dynamics 365 (CVE-2021-42316)
• NTFS (CVE-2021-41367, CVE-2021-41370, CVE-2021-42283)
• Windows Kernel (CVE-2021-42285)
• Visual Studio Code (CVE-2021-42322)
• Puente de Escritorio de Windows (CVE-2021-36957)
• Controlador del sistema de archivos Fast FAT de Windows (CVE-2021-41377)