85 vulnerabilidades son las que parchea el lanzamiento de actualizaciones de Microsoft correspondiente al mes de octubre. 15 de ellas fueron catalogadas como críticas y 69, importantes. Sin embargo, la novedad más relevante se centra en que las dos vulnerabilidades zero-day en Microsoft Exchange (ProxyNotShell) no llegaron a ser corregidas por la empresa. Estas habían sido registradas con el nombres CVE-2022-41040 y CVE-2022-41082.
Entre las 85 vulnerabilidades cuyos parches fueron lanzados por Microsoft, se pueden encontrar:
- 39 vulnerabilidades de escalación de privilegios
- 20 de ejecución remota de código (RCE)
- 11 vulnerabilidades de divulgación de información
- 8 de Denegación de Servicio
- 4 de Spoofing
- 2 vulnerabilidades que facilitan la evasión
Si bien las vulnerabilidades de Microsoft Exchange no fueron solucionadas, hay otras dos que conllevan cierta criticidad y sí fueron incluidas en las actualizaciones lanzadas por Microsoft. Se trata de CVE-2022-41033, una vulnerabilidad de escalación de privilegios presente en el Servicio de Eventos del Sistema de COM+ de Windows, y CVE-2022-41043 en Microsoft Office 2019 para Mac y Office LTSC para Mac 2021. Ambas fueron clasificadas como importantes y según la empresa son entendidas como zero-day.
Con el objetivo de correr el menor riesgo posible, se recomienda seguir las indicaciones de Microsoft hasta tanto se lancen los tan esperados parches para las vulnerabilidades ProxyNotShell.
