El martes de parches de enero de 2020 de Microsoft corrige 49 errores de seguridad


Cómo Microsoft se transformó en una empresa en la nube
Microsoft avanzó considerablemente en su objetivo de transformarse de la compañía de Windows a una compañía en la nube en la última década.

Microsoft ha publicado hoy las actualizaciones de seguridad del martes de parches de enero de 2020. Las actualizaciones de este mes incluyen correcciones para 49 vulnerabilidades, de las cuales ocho están clasificadas con una clasificación de gravedad de "crítica".

Con mucho, el error parcheado más notable de la actualidad es una vulnerabilidad en CryptoAPI (Crypt32.dll), la biblioteca criptográfica predeterminada de Windows, un error que la NSA descubrió e informó a Microsoft.

El bicho (CVE-2020-0601) se considera tan malo como se pone. Puede permitir a un actor de amenazas falsificar firmas de archivos y lanzar ataques de intermediario en comunicaciones HTTPS cifradas. Consulte nuestra cobertura anterior sobre este error para obtener detalles adicionales aquí.

Pero además de este error, también hay otros dos problemas importantes que necesitarán parches. Estos dos errores afectan tanto a Windows Server 2016 como a Windows Server 2012.

Según Microsoft, el componente Windows Remote Desktop Gateway (RD Gateway) que se ejecuta en estos sistemas es vulnerable a una falla de ejecución remota de código que permite a los atacantes hacerse cargo de servidores Windows vulnerables al iniciar una conexión RDP y enviar solicitudes especialmente diseñadas.

Estas dos vulnerabilidades, rastreadas como CVE-2020-0609 y CVE-2020-0610 – se produce antes del proceso de autenticación RDP y no requiere la interacción del usuario por parte del propietario del servidor.

En general, el martes de parches de enero de 2020 de Microsoft es más pequeño que muchos de los martes de parches de 2019 de Microsoft, pero seguramente no es menos importante, ya que los tres errores presentados anteriormente son un testimonio.

Se aconseja a los usuarios que tomen tiempo para descargar e instalar estas correcciones de seguridad lo antes posible.

Además de Windows, otros productos que recibieron soluciones este mes incluyen Internet Explorer, ASP.NET, .NET Framework, Microsoft Dynamics, OneDrive para Android, Microsoft Office y Microsoft Office Services and Web Apps.

La información adicional útil del martes de parches se encuentra a continuación:

  • De Microsoft Portal oficial de la Guía de actualización de seguridad enumera todas las actualizaciones de seguridad en una tabla filtrable.
  • ZDNet también puso juntos esta página enumerando todas las actualizaciones de seguridad en una sola página, en un solo lugar.
  • Análisis adicional del Patch Tuesday de hoy también está disponible en SANS ISC y Trend Micro.
  • Las actualizaciones de seguridad de Adobe de este mes se detallan aquí.
  • Se detallan las actualizaciones de seguridad de SAP aquí.
  • Las correcciones de seguridad de VMWare son aquí y aquí.
  • Las actualizaciones de seguridad de Intel están disponibles aquí.
  • Las actualizaciones críticas del parche Q1 de Oracle también se han lanzado hoy, y se detallan aquí.
  • Se detalla el Boletín de seguridad de Android para enero de 2020 aquí. Los parches comenzaron a implementarse en los teléfonos de los usuarios la semana pasada.
Etiqueta ID de CVE Título CVE
.NET Framework CVE-2020-0606 Vulnerabilidad de ejecución remota de código en .NET Framework
.NET Framework CVE-2020-0605 Vulnerabilidad de ejecución remota de código en .NET Framework
.NET Framework CVE-2020-0646 Vulnerabilidad de inyección de ejecución remota de código en .NET Framework
Aplicaciones CVE-2020-0654 Vulnerabilidad de omisión de la característica de seguridad de Microsoft OneDrive para Android
ASP.NET CVE-2020-0603 Vulnerabilidad de ejecución remota de código de ASP.NET Core
ASP.NET CVE-2020-0602 Vulnerabilidad de denegación de servicio en ASP.NET Core
Controlador común del sistema de archivos de registro CVE-2020-0615 Vulnerabilidad de divulgación de información del controlador del sistema de archivos de registro común de Windows
Controlador común del sistema de archivos de registro CVE-2020-0634 Vulnerabilidad de elevación de privilegios en el controlador del sistema de archivos de registro común de Windows
Controlador común del sistema de archivos de registro CVE-2020-0639 Vulnerabilidad de divulgación de información del controlador del sistema de archivos de registro común de Windows
Microsoft Dynamics CVE-2020-0656 Vulnerabilidad de secuencias de comandos en sitios cruzados de Microsoft Dynamics 365 (local)
Componente de gráficos de Microsoft CVE-2020-0622 Vulnerabilidad de divulgación de información de componentes gráficos de Microsoft
Componente de gráficos de Microsoft CVE-2020-0607 Vulnerabilidad de divulgación de información de componentes gráficos de Microsoft
Componente de gráficos de Microsoft CVE-2020-0642 Vulnerabilidad de elevación de privilegios en Win32k
Componente de gráficos de Microsoft CVE-2020-0643 Vulnerabilidad de divulgación de información en Windows GDI +
Microsoft Office CVE-2020-0650 Vulnerabilidad de ejecución remota de código en Microsoft Excel
Microsoft Office CVE-2020-0652 Vulnerabilidad de daños en la memoria de Microsoft Office
Microsoft Office CVE-2020-0653 Vulnerabilidad de ejecución remota de código en Microsoft Excel
Microsoft Office CVE-2020-0651 Vulnerabilidad de ejecución remota de código en Microsoft Excel
Microsoft Office CVE-2020-0647 Vulnerabilidad de suplantación de identidad en línea de Microsoft Office
Motor de secuencias de comandos de Microsoft CVE-2020-0640 Vulnerabilidad de daños en la memoria de Internet Explorer
Microsoft Windows CVE-2020-0644 Vulnerabilidad de elevación de privilegios en Windows
Microsoft Windows CVE-2020-0624 Vulnerabilidad de elevación de privilegios en Win32k
Microsoft Windows CVE-2020-0635 Vulnerabilidad de elevación de privilegios en Windows
Microsoft Windows CVE-2020-0620 Vulnerabilidad de elevación de privilegios en los servicios criptográficos de Microsoft
Microsoft Windows CVE-2020-0616 Vulnerabilidad de denegación de servicio en Microsoft Windows
Microsoft Windows CVE-2020-0608 Vulnerabilidad de divulgación de información en Win32k
Microsoft Windows CVE-2020-0601 Vulnerabilidad de suplantación de Windows CryptoAPI
Microsoft Windows CVE-2020-0621 Vulnerabilidad de omisión de la característica de seguridad de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0633 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0623 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0613 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0614 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0632 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0627 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0628 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0625 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0626 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0629 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0631 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Componente de búsqueda de Microsoft Windows CVE-2020-0630 Vulnerabilidad de elevación de privilegios en el indizador de búsqueda de Windows
Windows Hyper-V CVE-2020-0617 Vulnerabilidad de denegación de servicio de Hyper-V
Windows Media CVE-2020-0641 Vulnerabilidad de elevación de privilegios en Microsoft Windows
Windows RDP CVE-2020-0610 Vulnerabilidad de ejecución remota de código en la puerta de enlace de escritorio remoto de Windows (puerta de enlace RD)
Windows RDP CVE-2020-0609 Vulnerabilidad de ejecución remota de código en la puerta de enlace de escritorio remoto de Windows (puerta de enlace RD)
Windows RDP CVE-2020-0637 Vulnerabilidad de divulgación de información de acceso web a escritorio remoto
Windows RDP CVE-2020-0612 Vulnerabilidad de denegación de servicio de Windows Remote Desktop Gateway (RD Gateway)
Windows RDP CVE-2020-0611 Vulnerabilidad de ejecución remota de código de cliente de escritorio remoto
Subsistema de Windows para Linux CVE-2020-0636 Subsistema de Windows para la vulnerabilidad de elevación de privilegios en Linux
Windows Update Stack CVE-2020-0638 Vulnerabilidad de elevación de privilegios de Update Notification Manager





Enlace a la noticia original