Tal y como viene siendo habitual desde hace años, el segundo martes de cada mes Microsoft publica su boletín mensual de actualizaciones con parches para varios de sus sistemas operativos y programas. El boletín de junio destaca por solucionar un total de 129 vulnerabilidades tanto en sistemas Windows como aplicaciones desarrolladas por Microsoft y otros fabricantes. Este sería el mayor número de parches publicados en un mismo boletín de seguridad mensual hasta la fecha, aunque los de marzo y abril de este mismo año también destacaron por este punto.
Vulnerabilidades críticas que requieren atención
Pese a que en este boletín no se menciona ninguna vulnerabilidad 0-day, si que nos encontramos con un total de 11 vulnerabilidades críticas, 109 importantes, 7 moderadas y dos de baja criticidad. Entre las vulnerabilidades catalogadas como críticas, encontramos algunas de ellas en el navegador Microsoft Edge y en el motor VBScript que podrían permitir a un atacante la ejecución remota de código con la técnica clásica de engañar a un usuario para que visite una página web especialmente creada.
Como suele ser habitual en este tipo de vulnerabilidades, en el caso de que un atacante las explotase podría ejecutar comandos en el sistema con los mismos permisos que el usuario que estuviese registrado en ese momento. Otras vulnerabilidades catalogadas como críticas en la Interfaz de Dispositivos Gráficos, Windows OLE y en el manejo de ficheros LNK podrían ser aprovechadas utilizando otro vector de ataque clásico como es convencer al usuario para que descargue un archivo malicioso, ya sea mediante un fichero adjunto a un correo o desde una web.
Además, Microsoft también ha solucionado una vulnerabilidad presente en todas las versiones de Windows desde Windows Server 2008 que permitiría a un atacante explotar una característica de la Política de Grupos de Windows para tomar el control de un sistema. Microsoft tenía constancia de esta vulnerabilidad desde junio de 2019, pero no ha sido hasta ahora que ha sido solucionada.
Adobe soluciona fallos en Flash Player y otros productos
Una de las empresas que suele hacer coincidir la publicación de parches de seguridad con la fecha elegida por Microsoft desde hace tiempo es Adobe. En su boletín de junio esta empresa ha publicado actualizaciones de seguridad para solucionar una vulnerabilidad crítica en Adobe Flash Player para Windows, macOS, GNU/Linux y Chrome OS.
Esta vulnerabilidad, catalogada como del tipo “use-after-free”, se aprovecha de un fallo que permite la corrupción de la memoria y la ejecución de código arbitrario con los mismos permisos que tenga el usuario local.
Otros productos de Adobe que también han recibido parches de seguridad para vulnerabilidades catalogadas como importantes o críticas son Adobe Experience Manager y Adobe Framemaker. En el caso de que estas vulnerabilidades fueran aprovechadas se podría ejecutar código arbitrario y robar información sensible del sistema.
Conclusión
La instalación de estos parches de seguridad es altamente recomendable que se realice cuanto antes, aunque en aquellos entornos en los que se disponga de una gran cantidad de equipos o estos sean considerados como críticos, es muy probable que los administradores de sistemas prefieran implementarlas poco a poco para evitar fallos que dejen inoperativos los sistemas o causen problemas con alguna aplicación o periférico.