Microsoft corrige un Zero-Day y 24 errores de RCE (Actualiza!)

Microsoft acaba de lanzar hoy su paquete acumulativo mensual de parches de seguridad conocido como Patch Tuesday. Este mes, la compañía con sede en Redmond solucionó 112 errores de seguridad en una amplia gama de productos, desde Microsoft Edge hasta Windows WalletService.

Los parches de este mes también incluyen una solución para una vulnerabilidad Zerio-Daty de Windows que está siendo explotada In-the-Wild. Identificado como CVE-2020-17087, este Zero-Day fue revelado el 30 de octubre por los equipos de seguridad de Google Project Zero y TAG. Google dijo que la vulnerabilidad estaba siendo explotada junto con otro Zero-Day en Chrome y apunta a los usuarios de Windows 7 y Windows 10.

Los atacantes usarían este Zero-Day de Chrome para ejecutar código malicioso dentro de Chrome y luego usarían el Zero-Day de Windows para escapar de la zona de pruebas de seguridad (Sandbox) de Chrome y elevar los privilegios del código para atacar el sistema operativo subyacente.

Los detalles sobre el ataque no se publicaron, más allá de esta simple descripción.

Google descubrió el Zero-Day a mediados de octubre y le dio a Microsoft siete días para lanzar un parche. Dado que lanzar un parche de seguridad para cualquier producto de Microsoft, y especialmente el voluminoso sistema operativo Windows, requiere tiempo para probarlo y ajustarlo, el parche no estuvo listo durante el cronograma de divulgación original de siete días. Pero está disponible a partir de hoy.

Según el aviso de seguridad de Microsoft para CVE-2020-17087, el Zero-Day reside en el kernel de Windows e impacta en todas las versiones actualmente compatibles del sistema operativo Windows. Esto incluye todas las versiones posteriores a Windows 7 y todas las distribuciones de Windows Server.

Pero además de este Zero-Day de Windows, hay otras 111 vulnerabilidades que también deben ser parcheadas, incluidos 24 errores que pueden permitir ataques de ejecución remota de código (RCE) en aplicaciones como Excel, Microsoft Sharepoint, Microsoft Exchange Server, Windows Network. Sistema de archivos, el componente Windows GDI +, el servicio de cola de impresión de Windows e incluso en Microsoft Teams.

Si bien apresurarse a instalar parches es un enfoque seguro para la mayoría de los usuarios, se recomienda a los administradores de sistemas de redes grandes que prueben los parches antes de una implementación amplia para evitar errores o cambios que rompan los sistemas internos.

A continuación se muestran detalles adicionales sobre el martes de parches de Microsoft de hoy y las actualizaciones de seguridad publicadas por otras compañías de tecnología:

• Sitio oficial de Security Update Guide portal.
• ZDNet ha publicado este archivo con todos los security advisories de este mes.
• Adobe security updates aquí.
• SAP security updates aquí.
• Intel security updates aquí.
• VMWare security updates aquí.
• Chrome 86 security updates aquí.
• Android security updates aquí.

 Fuente: ZDNet

Suscríbete a nuestro Boletín