Microsoft corrige 87 vulnerabilidades de seguridad, 11 de ellas críticas
- Vulnerabilidades
Uno de los errores críticos más notables es un problema de ejecución remota de código (RCE) en la pila TCP / IP, que permite a los atacantes ejecutar código arbitrario con privilegios elevados. Ninguna vulnerabilidad de la lista está bajo ataque activo, según Microsoft.
|
Recomendados: La persistencia del ransomware Webinar Amenazas a las empresas en España durante la pandemia Leer |
En su Patch Tuesday de este mes, Microsoft ha publicado actualizaciones de seguridad que corrigen un total de 87 vulnerabilidades de seguridad, incluidos errores en Microsoft Windows, Office y Office Services y Web Apps, Azure Functions, Open Source Software, Exchange Server, Visual Studio, .NET Framework, Microsoft Dynamics y la Windows Codecs Library. Un total de 75 se enumeran como importantes, 11 como críticas y solo una se enumera como de gravedad moderada. Ninguna está bajo ataque activo, pero el grupo incluye seis fallos que se conocían pero que no se corrigieron antes de las actualizaciones programadas regularmente para este mes.
Uno de los errores críticos más notables es un problema de ejecución remota de código (RCE) en la pila TCP/IP (CVE-2020-16898), que permite a los atacantes ejecutar código arbitrario con privilegios elevados utilizando un anuncio de router ICMPv6 especialmente diseñado. Microsoft le da a este fallo su calificación de explotabilidad más alta, lo que significa que los ataques son extremadamente probables y, como tal, tiene una calificación de gravedad de 9,8 sobre 10 en la escala de vulnerabilidad CvSS.
Otro de los fallos críticos es un error de RCE en Microsoft Outlook (CVE-2020-16947), que se puede desencadenar enviando un correo electrónico especialmente diseñado a un objetivo; y, debido a que el panel de vista previa es un vector de ataque, las víctimas no necesitan abrir el correo para infectarse. También se puede utilizar en un ataque basado en web para convencer a los usuarios de que visiten una URL maliciosa.
También se ha corregido un error de RCE en Windows Hyper-V (CVE-2020-16891, 8,8 en la escala CvSS) que permite a un atacante ejecutar un programa especialmente diseñado en un sistema operativo invitado afectado para ejecutar código arbitrario en el sistema operativo host. Otros dos fallos críticos son errores de RCE en SharePoint Server (CVE-2020-16951 y CVE-2020-16952, ambos con una calificación de 8,6 en la escala CvSS), que provechan un vacío en la verificación del código fuente de un paquete de aplicación. Tras una explotación exitosa, el atacante podría ejecutar código arbitrario en el contexto del grupo de aplicaciones de SharePoint o de la cuenta de la granja de servidores.
Los errores críticos restantes afectan a Media Foundation Library (CVE-2020-16915, con una calificación de 7,8); Windows Camera Codec (CVE-2020-16967 y CVE-2020-16968, ambos con 7,8); el motor de renderizado Base3D (CVE-2020-17003, con 7,8); componentes gráficos (CVE-2020-16923, con 7,8); y la Windows Graphics Device Interface (GDI) (CVE-2020-16911, con 8,8).
