Parche de Microsoft Diciembre 2023

INTRODUCCIÓN

Este informe detalla una serie de vulnerabilidades críticas encontradas en varios productos de Microsoft, incluyendo Windows, Microsoft Edge y Microsoft Dynamics 365. Estas vulnerabilidades varían en severidad y pueden permitir desde la ejecución remota de código hasta la elevación de privilegios. En esta lista se incluyen:

• 10 vulnerabilidades de elevación de privilegios
• 8 Vulnerabilidades de ejecución remota de código
• 6 Vulnerabilidades de divulgación de información
• 5 Vulnerabilidades de denegación de servicio
• 5 Vulnerabilidades de suplantación de identidad

ANÁLISIS

CVE-2023-35628 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H (8.1):

Vulnerabilidad de ejecución remota de código en la plataforma MSHTML de Windows.

CVE-2023-35639 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H (8.8):

Vulnerabilidad de ejecución remota de código en el controlador ODBC de Microsoft.

CVE-2023-36004 - CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H (7.5):

Vulnerabilidad de suplantación en Windows DPAPI (Data Protection Application Programming Interface).

CVE-2023-36005 - CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H (7.5):

Vulnerabilidad de elevación de privilegios en el servidor de telefonía de Windows.

CVE-2023-35643 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N (7.5):

Vulnerabilidad de divulgación de información en el servicio DHCP de Windows Server.

CVE-2023-36006 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H (8.8):

Vulnerabilidad de ejecución remota de código en el proveedor OLE DB de Microsoft WDAC para SQL Server.

CVE-2023-36019 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H (9.6):

Vulnerabilidad de suplantación en el conector de Microsoft Power Platform.

CVE-2023-36020 - CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N (7.6):

Vulnerabilidad de scripting entre sitios en Microsoft Dynamics 365 (on-premises).

CVE-2023-35618 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H (9.6):

Vulnerabilidad de elevación de privilegios en Microsoft Edge (Chromium-based).

VERSIONES AFECTADAS

Estas vulnerabilidades afectan a diferentes versiones de Windows, Windows Server, Microsoft Dynamics 365,Microsoft Power Platform y Azure Logic Apps. Para cada vulnerabilidad, consulte el enlace en la sección "Referencias" y vea los productos afectados.

RECOMENDACIONES

Para cada vulnerabilidad, consulte el enlace de la sección "Referencias" y siga las instrucciones de actualización para cada versión de producto indicadas por Microsoft.

REFERENCIAS

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35628 
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35639 
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36004 
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36005 
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35643 
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36006  
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36019 
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36020 
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35618