Microsoft parchea 87 vulnerabilidades en su actualizaci贸n de octubre

Microsoft ha publicado su actualizaci贸n de segundo martes del mes, que para el caso de octubre de 2020 aborda 87 vulnerabilidades de seguridad distribuidas en 12 productos.

De los 87 errores de seguridad solucionados este mes, 12 est谩n catalogados como “cr铆ticos”, lo que significa que agentes maliciosos pueden explotarlos para hacerse del control total de un sistema vulnerable con poca o ninguna intervenci贸n de los usuarios.

Setenta y cuatro vulnerabilidades han sido clasificadas de “importantes”, mientras que una es de gravedad “moderada”.
La actualizaci贸n de seguridad de octubre cubre una amplia gama de software, incluyendo Microsoft Windows, Visual Studio, Microsoft Exchange Server, Microsoft Dynamics, Microsoft JET Database Engine, Microsoft Office, Microsoft Office Services, Web Apps, Software de C贸digo Abierto, Azure Functions, Microsoft .NET Framework, PowerShellGet, Adobe Flash Player y Microsoft Windows Codecs Library.

Seg煤n Microsoft, se desconoce si algunos de los fallos resueltos este mes haya sido explotado p煤blicamente.
El parche m谩s severo est谩 identificado como CVE-2020-16898, de clasificaci贸n cr铆tica, que afecta a Windows 10 y Windows Server 2019.

Este error existe en la pila de TCP/IP de Windows y podr铆a permitir a los actores maliciosos hacerse del control de un sistema no parcheado despu茅s de realizar una ejecuci贸n remota de c贸digo en la m谩quina.
Los hackers pueden explotar el error enviando paquetes de Router Advertisement ICMPv6 maliciosos a un PC Windows vulnerable a trav茅s de una conexi贸n de red.

CVE-2020-16898 obtuvo una puntuaci贸n CVSS de 9,8 sobre 10, lo que sugiere que los ataques in the wild son extremadamente probables.

El proveedor de seguridad McAfee advierte que el CVE-2020-16898 es “wormable” y puede convertirse en una amenaza que se propaga r谩pidamente dentro de las redes.

“La actualizaci贸n aborda la vulnerabilidad corrigiendo la forma en que la pila TCP/IP de Windows maneja los paquetes de ICMPv6 Router Advertisement”, dijo Microsoft.

CVE-2020-16947 es una vulnerabilidad cr铆tica que afecta al software de Microsoft Outlook.
Un atacante puede explotar este error induciendo a un usuario con una versi贸n vulnerable de Outlook a abrir un archivo especialmente dise帽ado.

El ataque tambi茅n funciona cuando un usuario ve un correo electr贸nico en el panel de vista previa.
“El panel de vista previa es un vector de ataque aqu铆, as铆 que ni siquiera necesitas abrir el correo para ser impactado”, dijo Dustin Childs de ZDI en un art铆culo de blog.

CVE-2020-16891 es un error cr铆tico de Windows Hyper-V RCE, que podr铆a permitir a un atacante ejecutar un programa especialmente dise帽ado en un sistema operativo hu茅sped vulnerable y eventualmente ejecutar c贸digo arbitrario en el.
Este bug recibi贸 una puntuaci贸n de 8.8 en la escala CVSS.
CVE-2020-16911 (vulnerabilidad de GDI+ RCE) y CVE-2020-16915 (vulnerabilidad de Corrupci贸n de la Memoria de Media Foundation) son otros interesantes errores cr铆ticos abordados por Microsoft en su parche acumulativo de octubre.


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.