Ayer era martes de actualizaciones, pero debido a diversas situaciones nos fue imposible publicar el contenido. Sin embargo, hoy estamos dispuestos a informaros de las novedades que llegan a Windows 10 con el parche de noviembre. Este, conocido como KB5007186 eleva la versión de Windows hasta la compilación 19041.1348, 19042.1348 y 19043.1348.
Novedades del parche KB5007186 de Windows 10
Este parche, al igual que el de su homónimo de Windows 11 se centra en las vulnerabilidades acabando con seis de ellas. De estas vulnerabilidades se dice que dos de ellas estaban siendo activamente explotadas.
- CVE-2021-42321: (CVSS:3.1 8.8 / 7.7). Esta era una vulnerabilidad activa. Esta vulnerabilidad afecta a Microsoft Exchange Server y, debido a una validación incorrecta de los argumentos de cmdlet, puede provocar RCE. Sin embargo, los atacantes deben estar autenticados.
- CVE-2021-42292: (CVSS:3.1 7.8 / 7.0). También detectada como explotada. Se encontró en Microsoft Excel y se puede utilizar para eludir los controles de seguridad. Microsoft dice que el panel de vista previa no es un vector de ataque. Actualmente no hay ningún parche disponible para Microsoft Office 2019 para Mac o Microsoft Office LTSC para Mac 2021.
- CVE-2021-43209: (CVSS:3.1 7.8 / 6.8). Una vulnerabilidad de 3D Viewer hecha pública, este error se puede explotar localmente para desencadenar RCE.
- CVE-2021-43208: (CVSS:3.1 7.8 / 6.8). Otro problema conocido, esta falla de seguridad de 3D Viewer también puede ser armada por un atacante local para fines de ejecución de código.
- CVE-2021-38631: (CVSS:3.0 4.4 / 3.9). También se hizo público, este fallo de seguridad, que se encuentra en el Protocolo de escritorio remoto de Windows (RDP), se puede usar para la divulgación de información.
- CVE-2021-41371: (CVSS:3.1 4.4 / 3.9). Finalmente, esta vulnerabilidad RDP, conocida antes de que el parche estuviera disponible, también se puede explotar localmente para forzar una fuga de información.
Además, desde Microsoft ya nos avisan, debido a las operaciones mínimas durante las vacaciones y el próximo año nuevo occidental, no habrá una versión preliminar (conocida como versión «C») para el mes de diciembre de 2021. Habrá una versión de seguridad mensual (conocida como versión «B») para diciembre de 2021. El servicio mensual normal para las versiones B y C se reanudará en enero de 2022.