Microsoft parchea dos vulnerabilidades, una de ellas es un 0-day en Internet Explorer que está siendo explotado activamente en estos momentos.

La primera vulnerabilidad, descubierta por el investigador Clément Lecigne y con identificador CVE-2019-1367 consiste en una ejecución remota de código localizada en la lógica usada por el motor Microsoft Scripting Engine para manipular objetos en memoria.

Esta vulnerabilidad permitiría a un atacante hacerse con el control de la máquina víctima mediante la visita a una web especialmente diseñada usando Internet Explorer.

Además, Microsoft también ha lanzado otro parche para una denegación de servicio en Windows Defender.

Ésta última, descubierta por el investigador de F-Secure Charalampos Billinis y Wenxu Wu de la firma Security Labs, tiene asignado el identificador CVE-2019-1255.

Según Microsoft, esta vulnerabilidad puede ser aprovechada por un atacante para impedir a un usuario ejecutar binarios. Aunque para aprovechar esta falla, es necesario primero adquirir permisos de ejecución en la máquina.

La primera falla afecta a las versiones 9, 10 y 11 del navegador mientras que la vulnerabilidad en Microsoft Defender afecta a las versiones anteriores a 1.1.16400.1. Como es habitual, se recomienda aplicar las actualizaciones lo más pronto posible.

Más Información:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1255

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

https://thehackernews.com/2019/09/windows-update-zero-day.html