viernes, 13 de octubre de 2017

Microsoft soluciona 62 vulnerabilidades en sus boletines de octubre

La compañía de Redmond soluciona más de 60 vulnerabilidades en su último boletín, de las cuales 25 son consideradas críticas. Los productos afectados son, entre otros, Internet Explorer, Edge, Office y Windows.

De especial importancia es la vulnerabilidad identificada como CVE-2017-11826. Este fallo, que afecta a todas las versiones con soporte de Microsoft Office, es una vulnerabilidad zero-day que ha estado siendo explotada para distribuir malware, y que permite la ejecución remota de código arbitrario a través de un fallo de corrupción de memoria provocado, por ejemplo, por un fichero Office especialmente diseñado. 

Descubierta y revelada publicamente por la empresa Qihoo 360, la vulnerabilidad vendría explotándose al menos desde septiembre según su reporte. 

También en Office, la vulnerabilidad CVE-2017-11776 en Microsoft Outlook se encuentra en la forma en que se realiza el cifrado S/MIME. El fallo permite el envío de correos cifrados incluyendo también el mismo contenido en texto plano. Ha sido descubierto por investigadores en SEC Consult Vulnerability Lab.

Otro importante fallo es el identificado como CVE-2017-11779. Este se aloja en el sistema DNS de Windows, concretamente en el fichero DNSAPI.dll, y viene dado por un error en el manejo de respuestas DNS. Un atacante podría usar un servidor DNS malicioso para enviar respuestas especialmente diseñadas que dispararan la vulnerabilidad, permitiendo ejecutar código arbitrario de forma remota. Afecta a Windows 8, 10, Server 2012 y 2016.

Finalmente, un breve repaso al resto de las vulnerabilidades:

  • Hasta 18 vulnerabilidades han sido corregidas en Microsoft Scripting Engine (componente de Microsoft Edge y ChakraCore), siendo la mayoría causadas por un fallo de corrupción de memoria y situándose entre gravedad moderada y crítica. Todas permitirían la ejecución de código de forma remota.
  • Se corrigen cuatro vulnerabilidades (Tres de ejecución remota de código y una de revelación de información) en Internet Explorer en versiones desde la 9 a la 11.
  •  24 de las vulnerabilidades corregidas se encuentran en diversas versiones de Microsoft Windows, repartidas entre varios componentes. Entre ellas, cinco vulnerabilidades de revelación de información se encuentran en el Kernel de Windows y otras cuatro, de diverso impacto, en el servidor SMB. 
  • Se corrigen nueve fallos en Microsoft Office, incluyendo tres vulnerabilidades XSS en SharePoint y una elevación de privilegios en Skype for Business.



Francisco López

Más información:

October 2017 Security Updates:
https://portal.msrc.microsoft.com/en-us/security-guidance


New Office 0day (CVE-2017-11826) Exploited in the Wild
http://360coresec.blogspot.com.es/2017/10/new-office-0day-cve-2017-11826.html


FAKE CRYPTO: MICROSOFT OUTLOOK S/MIME CLEARTEXT DISCLOSURE (CVE-2017-11776)
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html