El parche del martes de este mes incluye parches para 15 productos de Microsoft, incluidos 23 CVE críticos.
Microsoft ha abordado 129 problemas de seguridad como parte de su actualización del martes de parches de septiembre de 2020.
La compañía parcheó 23 vulnerabilidades y exposiciones comunes (CVE), fallas de seguridad, marcadas como “críticas” este mes, con 105 marcadas como “importantes” y una como “moderada”, en términos de su gravedad.
VER: Principales comandos de ejecución de Windows 10 (.) (TechRepublic)
La actualización de seguridad de septiembre cubre 15 productos y servicios de Microsoft en total, incluidos Microsoft Edge (heredado y Chromium), Internet Explorer, SQL Server, Microsoft Office y Microsoft Office Services y Web Apps, Microsoft Dynamics, Visual Studio, Microsoft Exchange Server, Microsoft OneDrive y Azure DevOps.
Muchas de las vulnerabilidades de este mes son específicas de privilegios, lo que significa que las vulnerabilidades representan una mayor amenaza para los administradores con acceso completo al sistema que para los usuarios sin derechos administrativos.
Entre los problemas de mayor gravedad resueltos por Microsoft relacionados con el sistema operativo Windows, se encuentran SharePoint, Microsoft Edge y Microsoft Dynamics 365, aunque se cree que ninguno de los errores ha sido explotado o conocido públicamente.
El software SharePoint de Microsoft recibió una serie de parches para errores de ejecución remota de código (RCE) este mes, que incluyen CVE-2020-1210, CVE-2020-1452, CVE-2020-1453, CVE-2020-1576, CVE-2020-1595.
Microsoft Exchange recibió un parche para CVE-2020-16875, un error que un atacante podría aprovechar enviando un correo electrónico malicioso al servidor Exchange afectado.
El módulo de servicio de texto de Windows recibió un parche para CVE-2020-0908, una vulnerabilidad a través de la cual un atacante podría atraer a los usuarios a un sitio web malicioso a través del nuevo Microsoft Edge basado en Chromium. Un atacante que aproveche con éxito la vulnerabilidad podría obtener poder sobre un sistema víctima.
VER: Cómo los usuarios de Apple pueden aprovechar al máximo Microsoft 365 en el trabajo (TechRepublic Premium)
Otro RCE abordado por Microsoft es CVE-2020-0922, una vulnerabilidad que existe en la forma en que Microsoft COM para Windows maneja los objetos en la memoria. Un atacante que aproveche con éxito la vulnerabilidad podría ejecutar código arbitrario en un sistema de destino.
Al comentar, el jefe de seguridad de SolarWinds, Gill Langston, dijo: “No hay vulnerabilidades de emergencia este mes en el momento de escribir este artículo, por lo que la guía es asegurarse de que está abordando los dispositivos de la estación de trabajo en su programa de parches normal (para abordar el sistema operativo y vulnerabilidades del navegador) y servidores en su próxima ventana de mantenimiento disponible.
“Como es una buena práctica, es una buena idea auditar los derechos que les permite a sus usuarios tener en los sistemas de estaciones de trabajo. Si bien es más conveniente simplemente convertirlos en administradores, limitar sus derechos en las estaciones de trabajo puede reducir el riesgo cuando inevitablemente hacen clic en ese enlace o visite una página web maliciosa “.
Boletín semanal de Microsoft
Sea el conocedor de Microsoft de su empresa leyendo estos consejos, trucos y hojas de trucos de Windows y Office. Entrega lunes y miércoles
Nos vemos pronto!