Chegou o Patch Tuesday deste mês que vem com correções para nada mais, nada menos que, 99 vulnerabilidades de segurança no Windows e em outros softwares da Microsoft.
Doze falhas receberam a classificação de “crítica”, enquanto cinco falhas de segurança são listadas como conhecidas publicamente no momento do lançamento do boletim.
Uma vulnerabilidade dia zero permite explorar ativamente no Internet Explorer (IE).
A Microsoft divulgou essa falha, indexada como CVE-2020-0674, há três semanas atrás, mas não lançou um patch oficial nesse momento. A exploração bem-sucedida dessa vulnerabilidade (RCE) permite que atacantes remotos executem código arbitrário remotamente nos sistemas alvos.
De acordo com o resumo do SANS Technology Institute, outras 16 vulnerabilidade RCE estão a ser corrigidas este mês. Isso inclui, duas vulnerabilidades graves no cliente RDP do Windows, CVE-2020-0681 e CVE-2020-0734, onde a sua exploração in-the-wild é vista com grande preocupação pela Microsoft.
Foram também lançadas atualizações para várias aplicações do Windows, p.ex., o Office, Edge, Exchange Server, SQL Server e mais alguns produtos.
O número de correções neste mês é extraordinariamente alto; por exemplo, o lançamento do Patch Tuesday do mês passado corrigiu 49 vulnerabilidades.
O CVSS score mais alto nesta rodada de updates foi 8,8 em 10, e foi atribuída a uma vulnerabilidade de corrupção de memória no Windows Media Foundation. A vulnerabilidade identificada como CVE-2020-0738, pode executar código arbitrário no sistema afetado.
Uma série de vulnerabilidades de elevação de privilégios e negação de serviço também estão a ser corrigidas.
Todas as atualizações estão disponíveis neste catálogo do Microsoft Update para todas as versões suportadas do Windows.
É a primeira vez que os utilizadores do Windows 7 ficam sem suporte (a menos que paguem pelas Atualizações de segurança extendidadas) depois de o sistema operativo ter atingido o fim de vida (end-of-life no mês passado.
Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks. He is also Freelance Writer.
Read more here.