Introducció
Microsoft va llançar el seu conjunt final d’actualitzacions de Patch Tuesday per a 2023, solucionant 33 fallades en el seu programari, la qual cosa el convertix en un dels llançaments més lleugers dels últims anys.
De les 33 vulnerabilitats, quatre estan classificades com a crítiques i 29 com a importants quant a la seua gravetat. Les correccions se sumen a 18 fallades que Microsoft va solucionar en el seu navegador Edge al novembre.
Anàlisi
Si bé cap de les vulnerabilitats figura com a coneguda públicament o sota atac actiu en el moment del llançament, algunes de les més notables s’enumeren a continuació:
CVE-2023-35628 (puntuació CVSS: 8,1): vulnerabilitat d’execució remota de codi en la plataforma MSHTML de Windows.
CVE-2023-35630 (puntuació CVSS: 8,8): vulnerabilitat d’execució remota de codi de connexió compartida a Internet (ICS).
CVE-2023-35636 (puntuació CVSS: 6,5): vulnerabilitat de divulgació d’informació de Microsoft *Outlook.
CVE-2023-35639 (puntuació CVSS: 8,8): vulnerabilitat d’execució remota de codi del controlador ODBC de Microsoft.
CVE-2023-35641 (puntuació CVSS: 8,8): vulnerabilitat d’execució remota de codi de connexió compartida a Internet (ICS).
CVE-2023-35642 (puntuació CVSS: 6,5): vulnerabilitat de denegació de servici de connexió compartida a Internet (ICS).
CVE-2023-36019 (puntuació CVSS: 9,6): vulnerabilitat de suplantació d’identitat del connector Microsoft Power Platform.
CVE-2023-35638 (puntuació *CVSS: 7,5): vulnerabilitat de denegació de servici del servici del servidor DHCP.
CVE-2023-35643 (puntuació *CVSS: 7,5): vulnerabilitat de divulgació d’informació del servici del servidor DHCP.
CVE-2023-36012 (puntuació CVSS: 5,3): vulnerabilitat de divulgació d’informació del servici del servidor DHCP
- Recomanacions
- Aplicar els pegats llançats.
Referències
https://thehackernews.com/2023/12/microsofts-final-2023-patch-tuesday-33.html