Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualizaciones de seguridad de Microsoft de octubre de 2023

Fecha de publicación 11/10/2023
Identificador

INCIBE-2023-0436

Importancia
5 - Crítica
Recursos Afectados
  • Windows RDP
  • Windows Message Queuing
  • Azure SDK
  • Microsoft Dynamics
  • SQL Server
  • Azure Real Time Operating System
  • Azure
  • Windows IIS
  • Microsoft QUIC
  • Windows HTML Platform
  • Windows TCP/IP
  • Azure DevOps
  • Microsoft WordPad
  • Microsoft Windows Search Component
  • Microsoft Office
  • Microsoft Common Data Model SDK
  • Windows Deployment Services
  • Windows Kernel
  • Proveedor Microsoft WDAC OLE DB para SQL
  • Windows Mark of the Web (MOTW)
  • Windows Active Template Library
  • Microsoft Graphics Component
  • Windows Remote Procedure Call
  • Windows Named Pipe File System
  • Windows Resilient File System (ReFS)
  • Windows Microsoft DirectMusic
  • Windows DHCP Server
  • Windows Setup Files Cleanup
  • Windows AllJoyn API
  • Microsoft Windows Media Foundation
  • Windows Runtime C++ Template Library
  • Windows Common Log File System Driver
  • Windows TPM
  • Windows Virtual Trusted Platform Module
  • Windows Mixed Reality Developer Tools
  • Windows Error Reporting
  • Active Directory Domain Services
  • Windows Container Manager Service
  • Windows Power Management Service
  • Windows NT OS Kernel
  • Windows IKE Extension
  • Windows Win32K
  • Microsoft Exchange Server
  • Skype for Business
  • Windows Client/Server Runtime Subsystem
  • Windows Layer 2 Tunneling Protocol
  • Client Server Run-time Subsystem (CSRSS)
  • HTTP/2
  • Microsoft Edge (basado en Chromium)
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 10 de octubre, consta de 103 vulnerabilidades (con CVE asignado), calificadas 2 como críticas, 81 como importantes, 19 medias y 1 baja,

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • anulación de medidas de seguridad,
  • suplantación de identidad (spoofing).

Esta actualización mensual de Microsoft corrige 3 vulnerabilidades 0day, todas ellas explotadas activamente:

  • CVE-2023-41763: escalada de privilegios en Skype for Business;
  • CVE-2023-36563: divulgación de información en Microsoft WordPad;
  • CVE-2023-44487: denegación de servicio en protocolo HTTP/2 (HTTP/2 Rapid Reset Attack).

Los códigos CVE asignados a las vulnerabilidades reportadas pueden consultarse en las referencias.

Listado de referencias
Security Update Guide
October 2023 Security Updates
Etiquetas