Microsoft corrigió estas fallas de día cero de Windows e Internet Explorer en la última actualización de seguridad del martes de parches

La última serie de actualizaciones de seguridad de Patch Tuesday para Windows 10 incluye parches para 17 errores marcados como ‘Críticos’ y 97 listados como ‘Importantes’.

Microsoft ha publicado correcciones para 120 vulnerabilidades, incluidas dos vulnerabilidades de día cero, en su última actualización de seguridad Patch Tuesday para Windows 10.

La última serie de actualizaciones cubre 13 productos e incluye parches para 17 errores marcados por Microsoft como ‘Críticos’ y 97 listados como ‘Importantes’. Microsoft comenzó a implementar las correcciones ayer, 11 de agosto, cubriendo Windows 10 versión 2004 hasta Windows 7 y Server 2008.

VER: Seguridad de confianza cero: una hoja de trucos (.) (.) (TechRepublic)

Entre las principales vulnerabilidades que deben corregirse se encuentra el error designado CVE-2020-1464, una vulnerabilidad de suplantación a través de la cual un atacante podría eludir las funciones de seguridad de Windows 10 y cargar archivos firmados incorrectamente en la máquina de un usuario. Esta vulnerabilidad se ha revelado y detectado públicamente en ataques del mundo real, aunque Microsoft no ha proporcionado otros detalles.

El segundo exploit de día cero que Microsoft está solucionando es CVE-2020-1380, una vulnerabilidad de ejecución remota de código en el motor de scripting de Internet Explorer. Esta vulnerabilidad fue señalada a Microsoft por el proveedor de software antivirus Kaspersky, y permite a los atacantes ejecutar código malicioso en Internet Explorer a través del cual un usuario no autorizado podría tomar el control de otras partes del sistema de la víctima.

Según Microsoft, un atacante que aproveche con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario autorizado: si el usuario actual está conectado con derechos de administrador, por ejemplo, el atacante podría tomar el control del sistema e instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas a voluntad.

Kaspersky explicó que el exploit era peligroso independientemente de si Internet Explorer se usó como navegador web principal en una PC: algunas aplicaciones de Microsoft, como Office, a menudo usan Internet Explorer para mostrar videos y renderizar páginas web dentro de documentos a través de la extensión ActiveX. Por lo tanto, un atacante podría aprovechar el código en ActiveX y ejecutarlo a través de un documento o atraer a los usuarios a un sitio malicioso.

VER: Trucos del menú Inicio de Windows 10 (TechRepublic Premium)

Otra vulnerabilidad notable resuelta en la actualización de seguridad de agosto es CVE-2020-147. Este exploit permitió a un atacante utilizar el protocolo remoto Netlogon (MS-NRPC) para conectarse a un controlador de dominio y obtener acceso de administrador de dominio. Microsoft está abordando esta vulnerabilidad en una actualización de dos partes, comenzando con una modificación de cómo Netlogon maneja el uso de canales seguros.

Los parches adicionales que está implementando Microsoft cubren su navegador Edge, Office, SQL Server Management Studio, .Net Framework, junto con otros componentes y herramientas de desarrollo. Adobe también ha colaborado con 26 correcciones de vulnerabilidades en sus aplicaciones Acrobat y Reader.

Todas las últimas correcciones de Patch Tuesday están disponibles a través de Windows Update. ZDNet tiene publicó una lista exhaustiva de todo lo que se incluye, junto con una lista de actualizaciones de seguridad publicadas por otras empresas esta semana.

Sigue navegando por nuestra web viendo más artículos.

Deja un comentario