Actualizaciones de Microsoft octubre 2019

Ya están aquí las actualizaciones de cada mes y se puede decir que es bastante light. Ante todo y como recordatorio, Windows 7 y Windows Server 2008 R2 estarán fuera de soporte extendido y ya no recibirán actualizaciones a partir del 14 de enero de 2020.

Este mes, de nuevo, parece que el protocolo RDP está en el punto de mira. Si bien esta vez no lo ha resuelto la propia Microsoft, se ha corregido preventivamente un problema grave de seguridad. Otros fallos graves están, como de costumbre, en el motor VBScript y Chakra. La buena noticia es que ninguna de las vulnerabilidades ha sido revelada con anterioridad ni se ha encontrado en forma de 0-Day (aprovechada por atacantes).

Como curiosidad, se ha corregido CVE-2019-1319, una elevación de privilegios acreditada a Polar Bear, la investigadora que durante los últimos meses, se ha dedicado a divulgar pruebas de concepto sin previo aviso que permitían elevar privilegios en Windows. Parece que esta vulnerabilidad no quedó corregida del todo en mayo de 2019.

Como siempre, otras compañias sincronizan sus actualizaciones con estos de Microsoft

• Microsoft's official Security Update Guide portal lists all security updates in a filterable table.
• Then there's this one-page put together by ZDNet.
• Additional analysis of today's Patch Tuesday is also available from Cisco Talos, SANS ISC, Tenable, and Trend Micro.
• Microsoft patched an IE zero-day in an out-of-band update last month -- first made available as a manual update, and then later delivered via Windows Update.
• There's another RDP remote code execution bug this month, but this one's nowhere near as dangerous as the BlueKeep and DejaBlue bugs - considered wormable.
• This month, Microsoft patched four memory corruption issues in the Chakra Scripting Engine (ships with Microsoft Edge) that can lead to remote code execution.
• No Adobe security updates this month.
• The SAP security updates are detailed here.
• The Android Security Bulletin is out. Maintainers of the Android OS did not include a fix for a recently disclosed zero-day impacting Samsung, Huawei, and Xiaomi devices.
• However, Google delivered patches for Pixel devices -- see Pixel Security Bulletin for CVE-2019-2215.

Fuente: SeguInfo