Microsoft parchea 123 vulnerabilidades, incluido un fallo crítico en Windows Server
- Vulnerabilidades
Una vulnerabilidad crítica en el servidor DNS de Windows y un fallo de elevación de privilegios conocido públicamente encabezan la lista de 123 actualizaciones publicadas en el Patch Tuesday de julio, de las que 18 figuran como críticas y 105 figuran como importantes en gravedad.
|
Recomendados: Decálogo de ciberseguridad para empresas Leer Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Webinar ondemand |
Microsoft ha publicado su Patch Tuesday de julio, una lista de 123 actualizaciones de seguridad, una de las cuales soluciona un error de ejecución remota de código, que destaca por ser una las vulnerabilidades más críticas de Windows descubiertas este año, obteniendo una puntuación CVSS de 10.
La vulnerabilidad de ejecución remota de código (CVE-2020-1350) afecta al servidor del sistema de nombres de dominio (DNS) de Windows y fue encontrado por Sagi Tzaik, investigador de Check Point. Ese error existe debido al manejo inadecuado de las solicitudes enviadas a los servidores DNS de Windows , según los investigadores. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad enviando una solicitud maliciosa a un servidor DNS de Windows vulnerable. La explotación exitosa permitiría al atacante ejecutar código arbitrario en el contexto de la cuenta del sistema local.
Microsoft advierte que esta vulnerabilidad es problemática, dado que podría extenderse de un PC a otro sin la interacción del usuario, e insta encarecidamente a las organizaciones a parchear sus sistemas lo antes posible para abordar esta vulnerabilidad, ya que se espera que no pase mucho tiempo antes de que los atacantes comiencen a investigar y atacar sistemas vulnerables.
Otra vulnerabilidad calificada como importante es un error de elevación de privilegios (CVE-2020-1463) en el componente SharedStream Library en Windows 10 y Windows Server. Se deriva de la forma en que maneja los objetos en la memoria. La vulnerabilidad podría permitir que un atacante ejecute código con permisos elevados. Los investigadores expresaron su preocupación por que el error es conocido públicamente, por lo que puede ser explotado.
En total, Microsoft parcheó 123 errores, 18 enumerados como críticos y 105 enumerados como importantes en gravedad. Los parches cubrieron una amplia gama de productos, incluidos Windows 10, el nuevo navegador Edge basado en Chromium, Internet Explorer (IE), Office y Office Services, Windows Defender, Skype for Business, Visual Studio, .NET Framework, OneDrive y Azure DevOp.
Microsoft lleva cinco meses consecutivos lanzando parches para más de 110 y eleva el total para 2020 hasta 742. En comparación, Microsoft lanzó parches para 851 CVE en todo 2019. A este ritmo, Microsoft superará esta cifra el próximo mes.
