Microsoft corrigi\u00f3 59 vulnerabilidades en el martes de parches de octubre<\/a>, incluidas varias vulnerabilidades cr\u00edticas de ejecuci\u00f3n remota de c\u00f3digo (RCE).<\/p>\n Uno de las m\u00e1s importantes fue una vulnerabilidad (CVE-2019-1333) en el Cliente de Escritorio remoto<\/a> de la empresa que permitir\u00eda que un servidor malicioso obtenga el control de un ordenador Windows que se conecte a \u00e9l. Un atacante podr\u00eda lograr esto usando ingenier\u00eda social, envenenamiento de DNS, un ataque de hombre en el medio o comprometiendo un servidor leg\u00edtimo, advirti\u00f3 Microsoft. Una vez comprometido el cliente, pueden ejecutar c\u00f3digo arbitrario en \u00e9l.<\/p>\n Otra vulnerabilidad cr\u00edtica<\/a> de RCE afect\u00f3 al analizador MS XML en Windows 8.1, Windows 10, Windows Server 2012 hasta 2019 y RT 8.1. Un atacante puede desencadenar la vulnerabilidad CVE-2019-1060 a trav\u00e9s de un sitio web malicioso que invoca el analizador en un navegador.<\/p>\n Un error de corrupci\u00f3n de memoria<\/a> en el motor de secuencias de comandos Chakra de Edge (CVE-2019-1366) tambi\u00e9n permite que un sitio web malicioso active un RCE, operando con los privilegios de la cuenta del usuario, mientras que una vulnerabilidad RCE en Azure Stack<\/a>, la extensi\u00f3n local de Microsoft de su servicio en la nube Azure, escapa del sandbox ejecutando c\u00f3digo arbitrario con la cuenta NT AUTHORITYsystem.<\/p>\n La empresa tambi\u00e9n parche\u00f3 un error cr\u00edtico de RCE en VBScript<\/a> que permite que un atacante corrompa la memoria y tome el control del sistema, generalmente enviando un control ActiveX a trav\u00e9s de un sitio web o documento de Office. Esperemos que los errores en VBScript se vuelvan menos importantes con el tiempo ahora que la empresa ha desaprobado el lenguaje.<\/p>\n Otros errores notables considerados importantes que Microsoft parche\u00f3 esta semana incluyeron una vulnerabilidad de suplantaci\u00f3n de identidad en Microsoft Edge<\/a> y una vulnerabilidad de elevaci\u00f3n de privilegios<\/a> en el servidor IIS (CVE-2019-1365) que podr\u00eda permitir que un atacante escapara del entorno limitado de IIS con una solicitud web.<\/p>\n Tambi\u00e9n hubo una vulnerabilidad en la funci\u00f3n de arranque seguro de Windows<\/a> que permitir\u00eda a un atacante exponer la memoria protegida del n\u00facleo al acceder a la funcionalidad de depuraci\u00f3n que deber\u00eda estar protegida. Tendr\u00edan que obtener acceso f\u00edsico a la m\u00e1quina para aprovechar este error, etiquetado CVE-2019-1368.<\/p>\n Los usuarios locales del sistema de operaciones y finanzas empresariales de Dynamics 365 deben parchear el error de cross-site scripting<\/a> CVE-2019-1375 que permite a un atacante secuestrar sesiones de usuario.<\/p>\n Entre las docenas de otros errores que Redmond parche\u00f3 esta semana hab\u00eda una vulnerabilidad de elevaci\u00f3n de privilegios en el cliente de Windows Update<\/a>. Esta podr\u00eda permitir que un atacante tome el control de la funci\u00f3n que actualiza el sistema operativo Windows e instale, cambie o elimine programas a voluntad. Sin embargo, primero tendr\u00edan que iniciar sesi\u00f3n en el sistema.<\/p>\n Tambi\u00e9n se incluyeron en el parche paquetes acumulativos mensuales para el error cr\u00edtico de corrupci\u00f3n de memoria CVE-2019-1367 en Internet Explorer que podr\u00eda ejecutar el c\u00f3digo arbitrario en el contexto del usuario actual. Afecta a IE 9, 10 y 11. El mismo paquete acumulativo mensual presenta una actualizaci\u00f3n para el error CVE-2019-1255. Hemos informado sobre estos dos<\/a> el mes pasado y los parches han estado disponibles desde el 23 de septiembre de 2019. Sin embargo, el parche inicial de d\u00eda cero de IE fue confuso y caus\u00f3 problemas, seg\u00fan los informes.<\/p>\n Fue un mes tranquilo para Adobe, sin parches ni avisos.<\/p>\n <\/p>\n <\/p>\n Para manteneros al d\u00eda de las \u00faltimas amenazas<\/strong> haceros fans de nuestra p\u00e1gina de Facebook<\/a> o s\u00edguenos en Twitter<\/a> para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro bolet\u00edn de seguridad<\/a> en tu correo electr\u00f3nico, suscr\u00edbete en la siguiente aplicaci\u00f3n:<\/p>\n \t
![](\"https:\/\/sophos.files.wordpress.com\/2019\/04\/patch-tuesday.jpg\"\/)
<\/p>\n