De los 87 errores de seguridad solucionados este mes, 12 están catalogados como “críticos”, lo que significa que agentes maliciosos pueden explotarlos para hacerse del control total de un sistema vulnerable con poca o ninguna intervención de los usuarios.
Setenta y cuatro vulnerabilidades han sido clasificadas de “importantes”, mientras que una es de gravedad “moderada”.
La actualización de seguridad de octubre cubre una amplia gama de software, incluyendo Microsoft Windows, Visual Studio, Microsoft Exchange Server, Microsoft Dynamics, Microsoft JET Database Engine, Microsoft Office, Microsoft Office Services, Web Apps, Software de Código Abierto, Azure Functions, Microsoft .NET Framework, PowerShellGet, Adobe Flash Player y Microsoft Windows Codecs Library.
Según Microsoft, se desconoce si algunos de los fallos resueltos este mes haya sido explotado públicamente.
El parche más severo está identificado como CVE-2020-16898, de clasificación crítica, que afecta a Windows 10 y Windows Server 2019.
Este error existe en la pila de TCP/IP de Windows y podría permitir a los actores maliciosos hacerse del control de un sistema no parcheado después de realizar una ejecución remota de código en la máquina.
Los hackers pueden explotar el error enviando paquetes de Router Advertisement ICMPv6 maliciosos a un PC Windows vulnerable a través de una conexión de red.
CVE-2020-16898 obtuvo una puntuación CVSS de 9,8 sobre 10, lo que sugiere que los ataques in the wild son extremadamente probables.
El proveedor de seguridad McAfee advierte que el CVE-2020-16898 es “wormable” y puede convertirse en una amenaza que se propaga rápidamente dentro de las redes.
“La actualización aborda la vulnerabilidad corrigiendo la forma en que la pila TCP/IP de Windows maneja los paquetes de ICMPv6 Router Advertisement”, dijo Microsoft.
CVE-2020-16947 es una vulnerabilidad crítica que afecta al software de Microsoft Outlook.
Un atacante puede explotar este error induciendo a un usuario con una versión vulnerable de Outlook a abrir un archivo especialmente diseñado.
El ataque también funciona cuando un usuario ve un correo electrónico en el panel de vista previa.
“El panel de vista previa es un vector de ataque aquí, así que ni siquiera necesitas abrir el correo para ser impactado”, dijo Dustin Childs de ZDI en un artículo de blog.
CVE-2020-16891 es un error crítico de Windows Hyper-V RCE, que podría permitir a un atacante ejecutar un programa especialmente diseñado en un sistema operativo huésped vulnerable y eventualmente ejecutar código arbitrario en el.
Este bug recibió una puntuación de 8.8 en la escala CVSS.
CVE-2020-16911 (vulnerabilidad de GDI+ RCE) y CVE-2020-16915 (vulnerabilidad de Corrupción de la Memoria de Media Foundation) son otros interesantes errores críticos abordados por Microsoft en su parche acumulativo de octubre.
