Microsoft parchea 17 vulnerabilidades críticas y una zero‑day en actualización de noviem

Un total de 112 vulnerabilidades fueron reparadas por Microsoft en la actualización de noviembre, de las cuales 24 son de ejecución remota de código.

Microsoft lanzó el paquete de actualización de seguridad de noviembre en el que repara 112 vulnerabilidades en sus productos. Del total, 17 fueron catalogadas como críticas, 93 como importantes y dos como moderadas. Por otra parte, una gran cantidad de fallos corresponden a vulnerabilidades de ejecución remota de código (RCE).

Zero-day explotada de manera activa parcheada en actualización de noviembre La semana pasada el equipo de investigadores de Google Project Zero dio a conocer la existencia de una vulnerabilidad zero-day (CVE-2020-17087) en Windows. La misma ha estado bajo activa explotación en ataques dirigidos y siendo utilizada conjuntamente con otra vulnerabilidad zero-day (CVE-2020-15999) en Chrome que había sido parcheada el pasado 20 de octubre.

La CVE-2020-17087 es una vulnerabilidad que permite la escalación de privilegios, que radica en el controlador de criptografía del kernel (cng.sys) y afecta a todas las versiones de los sistemas operativos Windows que cuentan con soporte.

Otras vulnerabilidades corregidas

Del total de 17 vulnerabilidades críticas reparadas, se destaca la CVE-2020-17051, con un puntaje de 9.8 en la escala de severidad de CVSS. Se trata de una vulnerabilidad de ejecución remota de código en el sistema de archivos en red (NFS) de Windows, el cual ofrece una solución para compartir archivos incluso entre entornos heterogéneos, es decir, sean equipos con o sin Windows.

Lamentablemente, Microsoft ha decidido acotar detalles de la información sobre las vulnerabilidades reportadas este mes, pero a juzgar por la severidad se trata de una vulnerabilidad peligrosa.

Fuente: https://www.welivesecurity.com/la-es/2020/11/11/microsoft-parchea-vulnerabilidades-criticas-una-zero-day-actualizacion-noviembre/