Alerta de Seguridad No. 29/23: Actualizaciones de seguridad de Microsoft de octubre de 2023

  • 16/10/2023
  • 229
Alerta de Seguridad No. 29/23: Actualizaciones de seguridad de Microsoft de octubre de 2023

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 10 de octubre, consta de 103 vulnerabilidades (con CVE asignado), calificadas 2 como críticas, 81 como importantes, 19 medias y 1 baja,

Recursos Afectados:

  • Windows RDP
  • Windows Message Queuing
  • Azure SDK
  • Microsoft Dynamics
  • SQL Server
  • Azure Real Time Operating System
  • Azure
  • Windows IIS
  • Microsoft QUIC
  • Windows HTML Platform
  • Windows TCP/IP
  • Azure DevOps
  • Microsoft WordPad
  • Microsoft Windows Search Component
  • Microsoft Office
  • Microsoft Common Data Model SDK
  • Windows Deployment Services
  • Windows Kernel
  • Proveedor Microsoft WDAC OLE DB para SQL
  • Windows Mark of the Web (MOTW)
  • Windows Active Template Library
  • Microsoft Graphics Component
  • Windows Remote Procedure Call
  • Windows Named Pipe File System
  • Windows Microsoft DirectMusic
  • Windows DHCP Server
  • Windows Setup Files Cleanup
  • Windows AllJoyn API
  • Microsoft Windows Media Foundation
  • Windows Runtime C++ Template Library
  • Windows Common Log File System Driver
  • Windows TPM
  • Windows Virtual Trusted Platform Module
  • Windows Mixed Reality Developer Tools
  • Windows Error Reporting
  • Active Directory Domain Services
  • Windows Container Manager Service
  • Windows Power Management Service
  • Windows NT OS Kernel
  • Windows IKE Extension
  • Windows Win32K
  • Microsoft Exchange Server
  • Skype for Business
  • Windows Client/Server Runtime Subsystem
  • Windows Layer 2 Tunneling Protocol
  • Client Server Run-time Subsystem (CSRSS)
  • Microsoft Edge (basado en Chromium)

 

Descripción:

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • anulación de medidas de seguridad,
  • suplantación de identidad (spoofing).

 

Esta actualización mensual de Microsoft corrige 3 vulnerabilidades 0day, todas ellas explotadas activamente:

  • CVE-2023-41763: escalada de privilegios en Skype for Business;
  • CVE-2023-36563: divulgación de información en Microsoft WordPad;
  • CVE-2023-44487: denegación de servicio en protocolo HTTP 2.

 

Recomendaciones:

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias:

  • https://msrc.microsoft.com/update-guide
  • https://msrc.microsoft.com/update-guide/releaseNote/2023-Oct