Microsoft lanza actualizaciones de seguridad de Windows para fallas críticas

parche martes

Microsoft lanzó formalmente correcciones para 112 vulnerabilidades de seguridad recientemente descubiertas como parte de su Patch Tuesday de noviembre de 2020, incluida una falla de día cero explotada activamente revelada por el equipo de seguridad de Google la semana pasada.

El lanzamiento soluciona las fallas, 17 de las cuales están calificadas como Críticas, 93 están calificadas como Importantes y dos tienen una gravedad Baja, lo que una vez más eleva el recuento de parches a más de 110 después de una caída el mes pasado.

Las actualizaciones de seguridad abarcan una variedad de software, incluidos Microsoft Windows, Office y Office Services and Web Apps, Internet Explorer, Edge, ChakraCore, Exchange Server, Microsoft Dynamics, Windows Codecs Library, Azure Sphere, Windows Defender, Microsoft Teams y Visual Studio. .

El principal de los corregidos es CVE-2020-17087 (puntaje CVSS 7.8), una falla de desbordamiento de búfer en el controlador de criptografía del kernel de Windows («cng.sys») que el equipo de Google Project Zero reveló el 30 de octubre como un uso conjunto con un día cero de Chrome para comprometer a los usuarios de Windows 7 y Windows 10.

Por su parte, Google lanzó una actualización para su navegador Chrome para abordar el día cero (CVE-2020-15999) el mes pasado.

El aviso de Microsoft sobre la falla no entra en detalles más allá del hecho de que se trataba de una «vulnerabilidad de elevación local de privilegios del kernel de Windows» en parte para reestructurar los avisos de seguridad en línea con el formato del Sistema de puntuación de vulnerabilidad común (CVSS) a partir de este mes.

Fuera del día cero, la actualización corrige una serie de vulnerabilidades de ejecución remota de código (RCE) que afectan a Exchange Server (CVE-2020-17084), Network File System (CVE-2020-17051) y Microsoft Teams (CVE-2020- 17091), así como una falla de omisión de seguridad en el software de virtualización Windows Hyper-V (CVE-2020-17040).

CVE-2020-17051 tiene una calificación de 9.8 de un máximo de 10 en el puntaje CVSS, lo que la convierte en una vulnerabilidad crítica. Sin embargo, Microsoft señaló que la complejidad del ataque de la falla (las condiciones fuera del control del atacante que deben existir para explotar la vulnerabilidad) es baja.

Al igual que con el día cero, los avisos asociados con estas deficiencias de seguridad son descripciones ligeras, con poca o ninguna información sobre cómo se abusa de estas fallas de RCE o qué característica de seguridad en Hyper-V se está pasando por alto.

Otras fallas críticas reparadas por Microsoft este mes incluyen vulnerabilidades de corrupción de memoria en Microsoft Scripting Engine (CVE-2020-17052) e Internet Explorer (CVE-2020-17053), y múltiples fallas RCE en la biblioteca de códecs de extensiones de video HEVC.

Se recomienda enfáticamente que los usuarios de Windows y los administradores del sistema apliquen los parches de seguridad más recientes para resolver las amenazas asociadas con estos problemas.

Para instalar las últimas actualizaciones de seguridad, los usuarios de Windows pueden dirigirse a Inicio> Configuración> Actualización y seguridad> Actualización de Windows, o seleccionando Buscar actualizaciones de Windows.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática