Microsoft lanzó el martes su actualización de seguridad mensual programada con parches para 55 fallas de seguridad que afectan a Windows, Exchange Server, Internet Explorer, Office, Hyper-V, Visual Studio y Skype for Business.

De estos 55 errores, cuatro se clasifican como Críticos, 50 se clasifican como Importantes y uno se clasifica como Moderado en gravedad. Tres de las vulnerabilidades son de conocimiento público, aunque, a diferencia del mes pasado, ninguna de ellas está bajo explotación activa en el momento del lanzamiento.

El más crítico de los defectos abordados es CVE-2021-31166, una vulnerabilidad de ejecución remota de código en la pila del protocolo HTTP. El problema, que podría permitir que un atacante no autenticado envíe un paquete especialmente diseñado a un servidor objetivo, tiene una calificación de 9,8 sobre un máximo de 10 en la escala CVSS.

Otra vulnerabilidad a destacar es una falla de ejecución remota de código en Hyper-V (CVE-2021-28476), que también obtiene la mayor gravedad entre todas las fallas reparadas este mes con una calificación CVSS de 9.9.

«Este problema permite que una máquina virtual invitada obligue al kernel del host Hyper-V a leer desde una dirección arbitraria potencialmente no válida», dijo Microsoft en su aviso. «El contenido de la lectura de la dirección no se devolverá a la VM invitada. En la mayoría de las circunstancias, esto daría como resultado una denegación de servicio del host de Hyper-V (verificación de errores) debido a la lectura de una dirección no asignada».

«Es posible leer desde un registro de dispositivo mapeado en memoria correspondiente a un dispositivo de hardware conectado al host Hyper-V que puede desencadenar efectos secundarios adicionales específicos del dispositivo de hardware que podrían comprometer la seguridad del host Hyper-V», señaló el fabricante de Windows.

Además, la actualización de Patch Tuesday soluciona una falla de corrupción de memoria del motor de secuencias de comandos en Internet Explorer (CVE-2021-26419) y cuatro debilidades en Microsoft Exchange Server, lo que marca el tercer mes consecutivo en que Microsoft envía correcciones para el producto desde que salieron a la luz las vulnerabilidades de ProxyLogon en marzo:

• CVE-2021-31207 (Puntuación CVSS: 6,6) – Vulnerabilidad de omisión de características de seguridad (conocida públicamente)
• CVE-2021-31195 (Puntuación CVSS: 6,5) – Vulnerabilidad de ejecución remota de código
• CVE-2021-31198 (Puntuación CVSS: 7,8) – Vulnerabilidad de ejecución remota de código
• CVE-2021-31209 (Puntuación CVSS: 6,5) – Vulnerabilidad de suplantación de identidad

Si bien CVE-2021-31207 y CVE-2021-31209 se demostraron en el concurso Pwn2Own de 2021, a Orange Tsai de DEVCORE, quien reveló la vulnerabilidad de ProxyLogon Exchange Server, se le atribuye el informe de CVE-2021-31195.

En otros lugares, la actualización soluciona una serie de errores de escalada de privilegios en el servicio Windows Container Manager, una vulnerabilidad de divulgación de información en las redes inalámbricas de Windows y varias fallas de ejecución remota de código en Microsoft Office, Microsoft SharePoint Server, Skype for Business y Lync, Visual Studio, y Windows Media Foundation Core.

Para instalar las últimas actualizaciones de seguridad, los usuarios de Windows pueden dirigirse a Inicio> Configuración> Actualización y seguridad> Actualización de Windows, o seleccionando Buscar actualizaciones de Windows.