firma de seguridad cibernética Tenable acaba de publicar su vulnerabilidad Informe de inteligencia que describe las vulnerabilidades más comunes en cuanto a la seguridad de la empresa.
Al parecer,, Microsoft y productos de software de Google son en la parte superior de la lista de fallos de seguridad que interrumpen los sistemas empresariales enteros. Estas vulnerabilidades tienen el potencial de wrack 20-30 por ciento de las empresas que ejecuta el software sin parches.
Informe de inteligencia de la vulnerabilidad: los detalles
De acuerdo a el informe, Microsoft .NET y Microsoft Office, Adobe flash, y Java de Oracle llevar el más alto nivel de riesgo en términos de activos de la empresa. Adobe Flash es el culpable de la mitad de las amenazas empresariales basadas en la vulnerabilidad, y Microsoft Office, en general, es responsable de 20 por ciento de los fallos de seguridad. Una distinción debe hacerse sobre una vulnerabilidad particular,, CVE-2018-8202, que puede afectar hasta 32 por ciento de las empresas.
La vulnerabilidad se incluyó en [wplinkpreview url =”https://sensorstechforum.com/july-2018-patch-tuesday-cve-2018-8281-microsoft-office/”]Julio 2018 Martes de parches, y es un error de elevación de privilegios en el marco .NET.
Otra vulnerabilidad muy amenazante se encuentra en Google Chrome y se le asigna el número CVE-2.018-6.153. El tema es de la pila de memoria intermedia de tipo desbordamiento y es causada por la comprobación de límites incorrecta por Skia.
El siguiente en la lista es CVE-2015-6.136, una vulnerabilidad en Microsoft Internet Explorer que fue descubierto en 2015. CVE-2015-6136 puede afectar 28 por ciento de las empresas. Aquí está su Descripción oficial:
el Microsoft (1) VBScript 5.7 y 5.8 y (2) JScript 5.7 y 5.8 motores, tal como se utiliza en Internet Explorer 8 mediante 11 y otros productos, permite a atacantes remotos ejecutar código arbitrario a través de un sitio web diseñado, aka “Vulnerabilidad de secuencias de comandos del motor daños en la memoria.”
La cuarta vulnerabilidad en términos de impacto sobre las empresas es CVE-2018-2938:
Una vulnerabilidad en el componente de Java SE de Oracle Java SE (subcomponente: Java DB). Las versiones compatibles que se ven afectados son Java SE: 6U191, 7U181 y 8u172. Difíciles de explotar la vulnerabilidad permite que un intruso no autenticado con acceso a la red a través de múltiples protocolos para comprometer Java SE.
También hay que señalar que, mientras que la falla en Java SE, productos adicionales también pueden verse afectadas. ataques con éxito de esta vulnerabilidad puede dar lugar a toma de control de Java SE.
Luego viene CVE-2018-1039, una vulnerabilidad empresarial de Microsoft en el marco .NET que conduce a eludir la funcionalidad de protección del dispositivo.
El resto de las vulnerabilidades también tienen un impacto en las empresas. Algunos de ellos no se les asignan números CVE, al igual que el fallo SSL que está en sexta posición:
Versión SSL 2 y 3 Detección Protocolo. El servicio remoto acepta conexiones cifra usando SSL 2.0 y / o SSL 3.0. Estas versiones de SSL se ven afectados por varias fallas criptográficas, incluyendo un esquema de relleno inseguro con sistemas de cifrado CBC y renegociación sesión insegura y esquemas de reanudación.
El resto de los defectos son seleccionados por Tenable:
CVE-2018-6130 en Google Chrome, que es un error de acceso a la memoria fuera de los límites de WebRTC.
CVE-2018-8242 en Microsoft Internet Explorer, que es una vulnerabilidad de ejecución remota de código existente en la forma en que el motor de scripting trata los objetos en memoria en el navegador.
CVE-2017-8517 en Microsoft Internet Explorer, que se describe como un fracaso de los motores de JavaScript para manipular objetos en memoria correctamente en los navegadores de Microsoft. El error puede conducir a la ejecución de código arbitrario.
CVE-2018-5007 en el reproductor de Flash, que es una vulnerabilidad confusión tipo en versiones del software 30.0.0.113 y anterior. También puede conducir a la ejecución de código arbitrario.
CVE-2018-8249, CVE-2018-0978 en Microsoft Internet Explorer, que es un código de error de ejecución remota causados por el acceso a objetos inadecuada.
CVE-2018-8310 en Microsoft Office, que es una vulnerabilidad de manipulación que aparece cuando Microsoft Outlook no controla correctamente los tipos de adjuntos específicos cuando la prestación de mensajes de correo electrónico HTML.
CVE-2018-5002 en el reproductor de Flash, qué versiones del software de impactos 29.0.0.171 y anterior. Es un defecto de desbordamiento de pila que conduce a la ejecución de código arbitrario en el contexto del usuario actual.
CVE-2018-8178 en los navegadores de Microsoft, que es una vulnerabilidad de ejecución remota de código.
CVE-2018-2814 en Oracle Java, que es un defecto en el componente integrado de Java SE de Oracle Java SE que puede dar lugar a una adquisición completa por los atacantes.
CVE-2018-5008 en el reproductor de Flash, que afecta a las versiones 30.0.0.113 y anterior. Se trata de una vulnerabilidad de seguridad fuera de los límites leído que puede dar lugar a la divulgación de información.
CVE-2017 a 11.215 en el reproductor de Flash, que afecta a las versiones de software 27.0.0.183 y anterior. Un defecto de usar después de liberación en el SDK de horario estelar que podría conducir a la corrupción de código, secuestro de flujo de control o una fuga de información.
Una vulnerabilidad en Mozilla sin asignar, que afecta a las aplicaciones de Mozilla heredados, tales como versiones actualizadas del Firefox, Thunderbird y SeaMonkey. Estos productos pueden contener fallos de seguridad que no hay actualizaciones de seguridad más están disponibles.
CVE-2015-0008 en la biblioteca MFC en Microsoft Visual Studio .NET, que es una búsqueda que no se confía vulnerabilidad camino que puede ser explotada por atacantes para obtener privilegios locales.
CVE-2018-4944 en las versiones de Flash 29.0.0.140 y anterior. Estas versiones contienen un error confusión tipo que puede conducir a la ejecución de código arbitrario.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: