Chegou o Patch Tuesday deste mês que vem com correções para nada mais, nada menos que, 99 vulnerabilidades de segurança no Windows e em outros softwares da Microsoft.
Doze falhas receberam a classificação de “crítica”, enquanto cinco falhas de segurança são listadas como conhecidas publicamente no momento do lançamento do boletim.
Uma vulnerabilidade dia zero permite explorar ativamente no Internet Explorer (IE).
A Microsoft divulgou essa falha, indexada como CVE-2020-0674, há três semanas atrás, mas não lançou um patch oficial nesse momento. A exploração bem-sucedida dessa vulnerabilidade (RCE) permite que atacantes remotos executem código arbitrário remotamente nos sistemas alvos.
De acordo com o resumo do SANS Technology Institute, outras 16 vulnerabilidade RCE estão a ser corrigidas este mês. Isso inclui, duas vulnerabilidades graves no cliente RDP do Windows, CVE-2020-0681 e CVE-2020-0734, onde a sua exploração in-the-wild é vista com grande preocupação pela Microsoft.
Foram também lançadas atualizações para várias aplicações do Windows, p.ex., o Office, Edge, Exchange Server, SQL Server e mais alguns produtos.
O número de correções neste mês é extraordinariamente alto; por exemplo, o lançamento do Patch Tuesday do mês passado corrigiu 49 vulnerabilidades.
O CVSS score mais alto nesta rodada de updates foi 8,8 em 10, e foi atribuída a uma vulnerabilidade de corrupção de memória no Windows Media Foundation. A vulnerabilidade identificada como CVE-2020-0738, pode executar código arbitrário no sistema afetado.
Uma série de vulnerabilidades de elevação de privilégios e negação de serviço também estão a ser corrigidas.
Todas as atualizações estão disponíveis neste catálogo do Microsoft Update para todas as versões suportadas do Windows.
É a primeira vez que os utilizadores do Windows 7 ficam sem suporte (a menos que paguem pelas Atualizações de segurança extendidadas) depois de o sistema operativo ter atingido o fim de vida (end-of-life no mês passado.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.