Avisos públicos
Microsoft lanza sus actualizaciones de seguridad de diciembre de 2021
28 dic. 2021 GMT+08:00
I. Información general
Microsoft ha lanzado sus actualizaciones de seguridad de diciembre de 2021. Se ha revelado un total de 67 vulnerabilidades de seguridad, de las cuales 7 están identificadas como vulnerabilidades importantes. Los atacantes pueden explotar estas vulnerabilidades para ejecutar código de forma remota, aumentar privilegios y filtrar información confidencial. Software afectado: Microsoft Windows, Microsoft Office, Microsoft Visual Studio Code y Microsoft Defender for IoT.
Para obtener más detalles, visite el sitio web oficial de Microsoft:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Dec
Las siguientes vulnerabilidades han sido explotadas por atacantes:
Vulnerabilidad de falsificación en el instalador de AppX de Windows (CVE-2021-43890): Un atacante puede crear un archivo adjunto malicioso para ser utilizado en campañas de fraude electrónico, y luego convencer al usuario para que abra dicho adjunto especialmente diseñado. Se ha revelado la POC (prueba de concepto) de esta vulnerabilidad. Es una vulnerabilidad de alto riesgo y ha sido explotada libremente.
Vulnerabilidad de elevación de privilegios en el instalador de Windows (CVE-2021-43883): Se han dado a conocer detalles sobre la vulnerabilidad.
Vulnerabilidad de elevación de privilegios en la gestión de dispositivos móviles de Windows (CVE-2021-43880): Se han dado a conocer detalles sobre la vulnerabilidad.
Vulnerabilidad de elevación de privilegios en la cola de impresión de Windows (CVE-2021-41333): Se han dado a conocer detalles sobre la vulnerabilidad.
Realice una autoverificación de seguridad e implemente las mejoras de seguridad de manera oportuna para reducir los riesgos de ataques.
II. Severidad
Severidad: importante
(Severidad: baja, moderada, importante o crítica)
III. Productos afectados
Microsoft Windows, Microsoft Office, Microsoft Visual Studio Code, Microsoft Defender for IoT.
IV. Detalles de las vulnerabilidades
ID de CVE | Nombre de la vulnerabilidad | Severidad | Productos afectados |
CVE-2021-43905 | Vulnerabilidad de ejecución remota de código en la aplicación de Microsoft Office | Importante | Aplicación de Office |
CVE-2021-43899 | Vulnerabilidad de ejecución remota de código en el adaptador de pantalla inalámbrica 4K de Microsoft | Importante | Adaptador de pantalla inalámbrica 4K de Microsoft |
CVE-2021-42310 | Vulnerabilidad de ejecución remota de código en Microsoft Defender for IoT | Importante | Microsoft Defender for IoT |
CVE-2021-43233 | Vulnerabilidad de ejecución remota de código en el cliente de escritorio remoto | Importante | Windows 10, Windows 8.1/RT 8.1, Windows 7, Windows 11, Windows Server 2008R/2012/2012R/2016/2019/2022, Windows Server, versión 20H2/2004 |
CVE-2021-43217 | Vulnerabilidad de ejecución remota de código en el sistema de archivos de encriptación de Windows (EFS) | Importante | Windows 10, Windows 8.1/RT 8.1, Windows 7, Windows 11, Windows Server 2008/2008R/2012/2012R/2016/2019/2022, Windows Server, versión 20H2/2004 |
CVE-2021-43215 | La vulnerabilidad de corrupción de memoria en el servidor iSNS puede causar la ejecución remota de código | Importante | Windows 10, Windows 8.1/RT 8.1, Windows 7, Windows Server 2008/2008R/2012/2012R/2016/2019, Windows Server, versión 20H2/2004 |
CVE-2021-43907 | Vulnerabilidad de ejecución remota de código en la extensión WSL de Visual Studio Code | Importante | Extensión WSL de Visual Studio Code |
(Nota: Las vulnerabilidades enumeradas anteriormente son importantes. Para obtener más información, consulte el sitio web oficial de Microsoft).
V. Recomendaciones de seguridad
1. Utilice Windows Update o descargue los parches de la siguiente dirección para corregir las vulnerabilidades:
https://msrc.microsoft.com/update-guide
2. Cree una copia de respaldo de forma remota para proteger sus datos.
Nota: Antes de corregir vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.