El Instituto Nacional de Ciberdefensa del Servicio Nacional de Seguridad (NBSZ NKI) ha emitido una alerta en respuesta a un aviso crítico de Microsoft relacionado con ciertas vulnerabilidades de software. Estas vulnerabilidades son serias debido a su potencial de explotación y la amplia distribución del software afectado. En el paquete de seguridad publicado por Microsoft en mayo de 2024, se corrigieron un total de 61 errores de seguridad, incluidos tres considerados "día cero", de los cuales dos tienen una posibilidad activa de ser explotados.
Las vulnerabilidades más críticas identificadas son:
- CVE-2024-30040: Se refiere a una fallas en la característica de seguridad de la plataforma MSHTML de Windows.
- CVE-2024-30051: Implica una vulnerabilidad de elevación de privilegios en la biblioteca principal de Windows DWM.
Los productos y roles afectados por estas vulnerabilidades incluyen una amplia variedad de componentes de Windows y aplicaciones de Microsoft. Algunos de los elementos más relevantes son el Programador de tareas de Windows, el sistema de archivos NTFS, el controlador de archivos en la nube, Microsoft Edge, y herramientas de desarrollo como Visual Studio y .NET. Estas vulnerabilidades tienen el potencial de afectar a sistemas críticos de administración y acceso, así como a aplicaciones empresariales como Microsoft Dynamics 365.
Debido a la gravedad de estas vulnerabilidades, el NBSZ NKI recomienda encarecidamente que todos los usuarios instalen las actualizaciones de seguridad de manera inmediata. Estas actualizaciones se pueden realizar automáticamente o descargarse manualmente desde los sitios web del fabricante. La rápida aplicación de estas correcciones es crucial para proteger los sistemas y datos ante los riesgos de explotación asociados con las vulnerabilidades identificadas.
En resumen, la alerta destaca la importancia de mantenerse al día con las actualizaciones de software y la necesidad de una respuesta proactiva ante los descubrimientos de nuevas vulnerabilidades. La instalación de parches de seguridad es fundamental para salvaguardar la integridad del software y minimizar posibles ataques que podrían comprometer tanto la seguridad personal como la empresarial.