El martes Microsoft lanzó el paquete de actualizaciones de seguridad para sus productos correspondiente a octubre, el cual corrige un total de 85 vulnerabilidades, de las cuales 15 fueron catalogadas como críticas y 69 importantes. Sin embargo, la compañía no llegó a tiempo a corregir las dos vulnerabilidades zero-day en Microsoft Exchange apodadas ProxyNotShell, registradas como CVE-2022-41040 y CVE-2022-41082. Mientras no están disponibles parches para estas vulnerabilidades se aconseja seguir las recomendaciones de Microsoft.
Del total de vulnerabilidades corregidas 39 son de escalación de privilegios, 20 de ejecución remota de código (RCE), 11 de divulgación de información, ocho de denegación de servicio, cuatro de spoofing y dos que permiten evadir funciones de seguridad.
El número acumulado de vulnerabilidades corregidas en lo que va de 2022 hace probable que se supere la cantidad de vulnerabilidades parcheadas en 2021, lo cual en caso de cumplirse ubicaría al 2022 como el segundo año que más vulnerabilidades se reportaron en productos de Microsoft.
Por otra parte, este paquete de actualizaciones de octubre corrige dos vulnerabilidades clasificadas como importante y que de acuerdo a los criterios de Microsoft son consideradas zero-day.
La primera es la CVE-2022-41033, una vulnerabilidad de escalación de privilegios presente en el Servicio de Eventos del Sistema de COM+ de Windows que afecta a distintos productos. Esta vulnerabilidad recibió un puntaje de 7.8 en la escala de severidad de CVSS y existe la presencia de un exploit que está siendo utilizado activamente en ataques. De ser explotada exitosamente permitiría a un atacante obtener permisos de SYSTEM.
La otra vulnerabilidades es la CVE-2022-41043 en Microsoft Office 2019 para Mac y Office LTSC para Mac 2021. La misma fue clasificada como importante y recibió un puntaje de 4 en la escala de severidad y que había sido divulgada públicamente antes de la actualización.
Por su parte, el paquete de actualizaciones de octubre también incluyó parches para productos de Adobe. En total se corrigieron 29 vulnerabilidades en productos como Acrobat, Reader, ColdFusion, Commerce (Magento), y Adobe Dimension. De acuerdo al proyecto Zero Day Initiative, las más críticas de todas son las que están en ColdFusion, muchas de ellas catalogadas como críticas con un puntaje de 9.8 sobre 10 en la escala de severidad.
Por último, comentar que otra novedad anunciada por Microsoft recientemente es la posibilidad de suscribirse al feed de RSS para recibir notificaciones cada vez que existen nuevas actualizaciones disponibles en la guía de actualizaciones de seguridad de Microsoft. De esta manera las personas podrán mantenerse informadas no solo de los actualizaciones que lanza cada segundo martes del mes, sino también de los parches fuera de banda o cada vez que se conoce un nuevo fallo que Microsoft no puede reparar pero que considera que es importante notificar y compartir las formas de mitigación preventivas.