En el Patch Tuesday de este mes, Adobe liberó actualizaciones para 79 vulnerabilidades de su Flash Player, el mayor número de vulnerabilidades que se parchan en dicho producto durante este año. 56 de estas vulnerabilidades son de tipo use-after-free (UAF), las cuales pueden permitir que los atacantes ejecuten código arbitrario de manera remota en los sistemas afectados. La mayoría de las otras vulnerabilidades se relacionan con la corrupción de la memoria y el desbordamiento del buffer.
Mientras tanto, Microsoft lanzó 12 boletines de seguridad, ocho de los cuales se consideran críticos. Uno de los más notables es MS15-127, que resuelve una vulnerabilidad de Microsoft Windows que podría permitir la ejecución remota de código si un atacante envía solicitudes creadas especialmente a un servidor DNS. Por otro lado, MS15-130 resuelve una vulnerabilidad de las fuentes de Windows que los atacantes podrían utilizar para ejecutar remotamente código al hacer que los usuarios abran un documento creado especialmente o visitar una página maliciosa con estas fuentes especialmente creadas.
Dos de las actualizaciones de Microsoft son para vulnerabilidades críticas de sus navegadores. MS15-124 y MS15-125 son actualizaciones acumulativas para Internet Explorer y para Microsoft Edge, respectivamente. Las vulnerabilidades más severas que resuelven ambas necesitan que los usuarios sólo visiten una página Web especialmente diseñada para eventualmente obtener los mismos derechos de usuario que el usuario actual, afectando seriamente a esos derechos administrativos.
Las otras actualizaciones críticas de Microsoft resuelven las vulnerabilidades del motor de scripting VBScript (MS15-126), los componentes gráficos de Microsoft (MS15-128), Silverlight (MS15-129), y Microsoft Office (MS15-131). Si estas fallas no se solucionan mediante los parches, podrían permitir que se ejecute código remotamente en los sistemas afectados. Se recomienda ampliamente actualizar el software y los sistemas con los parches más recientes de Adobe y de Microsoft.
Soluciones de Trend Micro
Trend Micro Deep Security y Vulnerability Protection protegen los sistemas de los usuarios contra las amenazas que podrían aprovechar estas vulnerabilidades ya que siguen las siguientes reglas de DPI:
- 1007224 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6083)
- 1007225 – Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2015-6136)
- 1007227 – Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2015-6140)
- 1007228 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6141)
- 1007229 – Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2015-6142)
- 1007230 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6143)
- 1007231 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6145)
- 1007232 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6146)
- 1007233 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6147)
- 1007234 – Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2015-6148)
- 1007235 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6149)
- 1007236 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6150)
- 1007237 – Microsoft Internet Explorer and Edge Memory Corruption Vulnerability (CVE-2015-6151)
- 1007238 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6152)
- 1007239 – Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2015-6153)
- 1007240 – Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2015-6154)
- 1007241 – Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2015-6155)
- 1007242 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6156)
- 1007243 – Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2015-6158)
- 1007244 – Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2015-6159)
- 1007245 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6160)
- 1007246 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6162)
- 1007248 – Microsoft Edge Memory Corruption Vulnerability (CVE-2015-6168)
- 1007249 – Microsoft Windows Graphics Memory Corruption Vulnerability (CVE-2015-6107)
- 1007250 – Microsoft Windows Integer Underflow Vulnerability (CVE-2015-6130)
- 1007251 – Microsoft Office Remote Code Execution Vulnerability (CVE-2015-6172)
- 1007273 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2015-6134)
- 1007274 – Microsoft Internet Explorer Scripting Engine Information Disclosure Vulnerability (CVE-2015-6135)
- 1007275 – Microsoft Internet Explorer Information Disclosure Vulnerability (CVE-2015-6157)
- 1007276 – Microsoft Edge Elevation of Privilege Vulnerability (CVE-2015-6170)
- 1007277 – Microsoft Windows Graphics Memory Corruption Vulnerability (CVE-2015-6106)
- 1007279 – Microsoft Office Memory Corruption Vulnerability (CVE-2015-6040)
- 1007280 – Microsoft Office Memory Corruption Vulnerability (CVE-2015-6118)
- 1007281 – Microsoft Office Memory Corruption Vulnerability (CVE-2015-6122)
- 1007282 – Microsoft Office Memory Corruption Vulnerability (CVE-2015-6124)
- 1007283 – Microsoft Office Memory Corruption Vulnerability (CVE-2015-6177)
- 1007284 – Microsoft Windows Library Loading Elevation Of Privilege Vulnerability (CVE-2015-6133)
- 1007285 – Microsoft Windows Media Center Information Disclosure Vulnerability (CVE-2015-6127)
- 1007287 – Microsoft Windows Library Loading Remote Code Execution Vulnerability (CVE-2015-6128)
- 1007288 – Microsoft Windows Library Loading Remote Code Execution Vulnerability (CVE-2015-6132)
Leave a Reply