Microsoft lanzó formalmente correcciones para 112 vulnerabilidades de seguridad recién descubiertas como parte de su martes de parches de noviembre de 2020 , incluida una falla de día cero explotada activamente que el equipo de seguridad de Google reveló la semana pasada.
El lanzamiento aborda fallas, 17 de las cuales están calificadas como críticas, 93 como importantes y dos tienen una gravedad baja, lo que una vez más eleva el recuento de parches a más de 110 después de una caída el mes pasado.
Las actualizaciones de seguridad abarcan una gama de software, incluidos Microsoft Windows, Office y Office Services y Web Apps, Internet Explorer, Edge, ChakraCore, Exchange Server, Microsoft Dynamics, Windows Codecs Library, Azure Sphere, Windows Defender, Microsoft Teams y Visual Studio.
El principal de los arreglados es CVE-2020-17087 (puntuación CVSS 7.8), una falla de desbordamiento de búfer en el controlador de criptografía del kernel de Windows («cng.sys») que fue revelado el 30 de octubre por el equipo de Google Project Zero como usado junto con un día cero de Chrome para comprometer a los usuarios de Windows 7 y Windows 10.
Por su parte, Google lanzó una actualización para su navegador Chrome para abordar el día cero (CVE-2020-15999) el mes pasado.
El aviso de Microsoft sobre la falla no entra en detalles más allá del hecho de que se trataba de una «vulnerabilidad local de elevación de privilegios del kernel de Windows» en parte para reestructurar los avisos de seguridad en línea con el formato del Common Vulnerability Scoring System (CVSS) a partir de este mes.
Fuera del día cero, la actualización corrige una serie de vulnerabilidades de ejecución remota de código (RCE) que afectan a Exchange Server ( CVE-2020-17084 ), Network File System ( CVE-2020-17051 ) y Microsoft Teams ( CVE-2020- 17091 ), así como una falla de seguridad en el software de virtualización Windows Hyper-V ( CVE-2020-17040 ).
CVE-2020-17051 tiene una calificación de 9,8 de un máximo de 10 en la puntuación CVSS, lo que la convierte en una vulnerabilidad crítica. Microsoft, sin embargo, señaló que la complejidad del ataque de la falla, las condiciones más allá del control del atacante que deben existir para explotar la vulnerabilidad, es baja.
Al igual que con el día cero, los avisos asociados con estas deficiencias de seguridad son ligeras en descripciones, con poca o ninguna información sobre cómo se abusa de estas fallas de RCE o qué característica de seguridad de Hyper-V se está evitando.
Otras fallas críticas corregidas por Microsoft este mes incluyen vulnerabilidades de corrupción de memoria en Microsoft Scripting Engine (CVE-2020-17052) e Internet Explorer (CVE-2020-17053), y múltiples fallas de RCE en la biblioteca de códecs de extensiones de video HEVC.
Se recomienda encarecidamente que los usuarios de Windows y los administradores del sistema apliquen los últimos parches de seguridad para resolver las amenazas asociadas con estos problemas.
Para instalar las últimas actualizaciones de seguridad, los usuarios de Windows pueden dirigirse a Inicio> Configuración> Actualización y seguridad> Actualización de Windows, o seleccionando Buscar actualizaciones de Windows.