Microsoft lanza parches de seguridad de septiembre de 2020 para 129 fallas

Como parte del martes de parches de este mes, Microsoft lanzó hoy un nuevo lote de actualizaciones de seguridad para corregir un total de 129 vulnerabilidades de seguridad recién descubiertas que afectan a varias versiones de sus sistemas operativos Windows y software relacionado.

De los 129 errores que abarcan sus diversos productos (Microsoft Windows, navegador Edge, Internet Explorer, ChakraCore, SQL Server, Exchange Server, Office, ASP.NET, OneDrive, Azure DevOps, Visual Studio y Microsoft Dynamics) que recibieron nuevos parches, 23 se enumeran como críticos, 105 son importantes y uno es de gravedad moderada.

A diferencia de los últimos meses, ninguna de las vulnerabilidades de seguridad que el gigante tecnológico reparó en septiembre figura como conocida públicamente o bajo ataque activo en el momento del lanzamiento o al menos sin conocimiento de Microsoft.

Vale la pena destacar todos los defectos críticos de una vulnerabilidad de corrupción de memoria (CVE-2020-16875) en el software de Microsoft Exchange. La explotación de esta falla podría permitir que un atacante ejecute código arbitrario en el nivel del SISTEMA mediante el envío de un correo electrónico especialmente diseñado a un servidor de Exchange vulnerable.

«Existe una vulnerabilidad de ejecución remota de código en el software de Microsoft Exchange cuando el software no puede manejar correctamente los objetos en la memoria», explica Microsoft. «Un atacante podría entonces instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas».

Microsoft también corrigió dos fallas críticas de ejecución remota de código en la biblioteca de códecs de Windows; ambos existen en la forma en que Microsoft Windows Codecs Library maneja los objetos en la memoria, pero mientras uno (CVE-2020-1129) podría explotarse para obtener información para comprometer aún más el sistema del usuario, el otro (CVE-2020-1319) podría usarse para tomar el control del sistema afectado.

Además de estos, dos fallas de ejecución remota de código afectan la implementación local de Microsoft Dynamics 365, pero ambas requieren que el atacante esté autenticado.

Microsoft también parchó seis vulnerabilidades críticas de ejecución remota de código en SharePoint y una en SharePoint Server. Si bien la explotación de la vulnerabilidad en SharePoint Server requiere autenticación, otras fallas en SharePoint no la requieren.

Otras fallas críticas que el gigante tecnológico corrigió este mes residen en Windows, el decodificador de audio de Windows Media, el módulo de servicio de texto de Windows, el paquete de códec de cámara de Windows, Visual Studio, el motor de secuencias de comandos, Microsoft COM para Windows, el navegador de Microsoft y la interfaz de dispositivo gráfico.

Las vulnerabilidades marcadas como importantes residen en Windows, Active Directory, Active Directory Federation Services (ADFS), Internet Explorer Browser Helper, Jet Database Engine, ASP.NET Core, Dynamics 365, Excel, Graphics Component, Office, Office SharePoint, SharePoint Server, SharePoint , Word, OneDrive para Windows, Scripting Engine, Visual Studio, Win32k, Control de aplicaciones de Windows Defender, DNS de Windows y más.

La mayoría de estas vulnerabilidades permiten la divulgación de información, la elevación de privilegios y la creación de secuencias de comandos entre sitios. Algunos también conducen a ataques de ejecución remota de código. Por el contrario, otros permiten la omisión de funciones de seguridad, la suplantación de identidad, la manipulación y los ataques de denegación de servicio.

Se recomienda encarecidamente a los usuarios de Windows y a los administradores de sistemas que apliquen los últimos parches de seguridad lo antes posible para evitar que los ciberdelincuentes y los piratas informáticos tomen el control de sus computadoras.

Para instalar actualizaciones de seguridad, diríjase a Configuración → Actualización y seguridad → Actualización de Windows → Buscar actualizaciones o instale las actualizaciones manualmente.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática