Microsoft parcheó 118 CVE en su lanzamiento del Patch Tuesday de agosto de 2022, con 17 calificados como críticos y 101 calificados como importantes.
Dos días cero arreglados, uno explotado activamente
La vulnerabilidad de día cero explotada activamente y reparada hoy se conoce en broma como “DogWalk” y Microsoft la etiqueta como “CVE-2022-34713 – Herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) Vulnerabilidad de ejecución remota de código”.
El investigador de seguridad Imre Rad descubrió esta vulnerabilidad en enero de 2020, pero Microsoft decidió no repararla después de considerar que no se trataba de una vulnerabilidad de seguridad.
Sin embargo, después del descubrimiento de la vulnerabilidad MSDT de Microsoft Office, los investigadores de seguridad presionaron una vez más para que también se solucione la vulnerabilidad DogWalk, lo que se hizo como parte de las actualizaciones de hoy.
La otra vulnerabilidad de día cero se rastrea como “CVE-2022-30134 – Vulnerabilidad de divulgación de información de Microsoft Exchange” y permite que un atacante lea mensajes de correo electrónico específicos.
Microsoft dice que la vulnerabilidad CVE-2022-30134 se divulga públicamente pero no se ha detectado en los ataques.
Tipologia de vulnerabilidades
Las vulnerabilidades de elevación de privilegios (EoP) representaron el 54,2 % de las vulnerabilidades parcheadas este mes, seguidas de las vulnerabilidades de ejecución remota de código (RCE) con un 26,3 %.