Microsoft corrige las fallas de día cero de Windows e World-wide-web Explorer en el último Patch Tuesday


La última serie de actualizaciones de seguridad de Patch Tuesday para Home windows 10 incluye parches para 17 errores marcados como &#39Críticos&#39 y 97 listados como &#39Importantes&#39.

Microsoft ha publicado soluciones para 120 vulnerabilidades, incluidas dos vulnerabilidades de día cero, en su última actualización de seguridad del martes de parches para Windows 10.

La última serie de actualizaciones cubre 13 productos e incluye parches para 17 errores marcados por Microsoft como &#39Críticos&#39 y 97 listados como &#39Importantes&#39. Microsoft comenzó a implementar las correcciones ayer, 11 de agosto, cubriendo Home windows 10 versión 2004 hasta Home windows 7 y Server 2008.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (PDF gratuito) (TechRepublic)

Entre las principales vulnerabilidades que se deben parchear se encuentra el error designado CVE-2020-1464, una vulnerabilidad de suplantación de identidad a través de la cual un atacante podría eludir las funciones de seguridad de Windows 10 y cargar archivos firmados incorrectamente en la máquina de un usuario. Esta vulnerabilidad se ha revelado y detectado públicamente en ataques del mundo true, aunque Microsoft no ha proporcionado otros detalles.

El segundo exploit de día cero que Microsoft está reparando es CVE-2020-1380, una vulnerabilidad de ejecución remota de código en el motor de scripting de Net Explorer. Esta vulnerabilidad fue señalada a Microsoft por el proveedor de software antivirus Kaspersky, y permite a los atacantes ejecutar código malicioso en Net Explorer a través del cual un usuario no autorizado podría tomar el control de otras partes del sistema de la víctima.

Según Microsoft, un atacante que aproveche con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario autorizado: si el usuario precise inicia sesión con derechos de administrador, por ejemplo, el atacante podría tomar el management del sistema e instalar programas ver, cambiar o eliminar datos o crear nuevas cuentas a voluntad.

Kaspersky explicó que el exploit era peligroso independientemente de si Online Explorer se usó como navegador website principal en una Computer: algunas aplicaciones de Microsoft, como Office environment, a menudo usan Online Explorer para mostrar videos y renderizar páginas website dentro de documentos a través de la extensión ActiveX. Por lo tanto, un atacante podría aprovechar el código en ActiveX y ejecutarlo a través de un documento o atraer a los usuarios a un sitio malicioso.

VER: Trucos del menú Inicio de Windows 10 (TechRepublic Premium)

Otra vulnerabilidad notable resuelta en la actualización de seguridad de agosto es CVE-2020-147. Este exploit permitió a un atacante utilizar el protocolo remoto Netlogon (MS-NRPC) para conectarse a un controlador de dominio y obtener acceso de administrador de dominio. Microsoft está abordando esta vulnerabilidad en una actualización de dos partes, comenzando con una modificación de cómo Netlogon maneja el uso de canales seguros.

Los parches adicionales que está implementando Microsoft cubren su navegador Edge, Business, SQL Server Management Studio, .Web Framework, junto con otros componentes y herramientas de desarrollo. Adobe también ha contribuido con 26 correcciones de vulnerabilidades en sus aplicaciones Acrobat y Reader.

Todas las últimas correcciones de Patch Tuesday están disponibles a través de Home windows Update. ZDNet tiene publicó una lista exhaustiva de todo lo que está incluido, junto con una lista de actualizaciones de seguridad publicadas por otras empresas esta semana.

Ver también



Enlace a la noticia original