Patch Tuesday Microsoft de junio corrige 129 vulnerabilidades

10 Junio 2020
Crítico

Microsoft emitió sus actualizaciones de Patch Tuesday para junio de 2020, reparando 129 vulnerabilidades en sus productos y servicios. Esto marca el lanzamiento de seguridad mensual más grande de la compañía hasta la fecha y el cuarto mes consecutivo de más de 100 CVE (vulnerabilidades y exposiciones comunes) parcheadas.

Once de los errores abordados hoy se clasifican como críticos y 118 se clasifican como importantes. Las vulnerabilidades existen en Microsoft Windows, Internet Explorer, navegador Edge, ChakraCore, Office, Office Services y Web Apps, Windows Defender, Microsoft Dynamics, Visual Studio, Azure DevOps y Microsoft Apps para Android. 

Tendencias interesantes:

Protocolo SMB (Microsoft Server Message Block)

Correcciones para tres fallas en el protocolo SMB (Microsoft Server Message Block). Dos de estos residen en SMBv3: uno es un error de denegación de servicio ( CVE-2020-1284 ) que requiere la autenticación de un atacante; otra es una vulnerabilidad de divulgación de información (CVE-2020-1206) que no requiere autenticación. El tercero es CVE-2020-1301, una falla de ejecución remota de código (RCE) en SMBv1 que requiere autenticación y afecta a Windows 7 y 2008, que alcanzaron el fin del soporte en enero de 2020, pero han recibido parches (La recomendación es mantener deshabilitado SMBv1)

Vulnerabilidades de ejecución remota de código 

Las vulnerabilidades de ejecución remota de código para este mes constituyen nueve de los 11 defectos críticos solucionados.

Microsoft corrige una falla de RCE crítico en SharePoint Server, que si se explota podría permitir a un atacante realizar acciones en el contexto de seguridad del proceso del grupo de aplicaciones de SharePoint CVE-2020-1181. Los errores más críticos de RCE se abordaron en la interfaz de dispositivo gráfico de Windows ( CVE-2020-1248 ) y Windows OLE ( CVE-2020-1281 ). Además se parcheó las vulnerabilidades de RCE en Excel ( CVE-2020-1225 y CVE-2020-1226 ), Word para Android ( CVE-2020-1223 ), LNK ( CVE-2020-1299 ), Windows Shell ( CVE-2020-1286 ) y el Motor de base de datos Jet ( CVE-2020-1208 y CVE-2020-1236 ). también se abordó varias fallas de ejecución remota de código en el sistema operativo Windows, desde Windows 7 hasta Windows 2019.

Se requiere la participación del usuario en muchos de estos ataques RCE, que continúa demostrando un problema dada la cantidad de personas que aún hacen clic en enlaces, abren archivos y visitan sitios web potencialmente sospechosos.

Según Microsoft, ninguna de las vulnerabilidades resueltas este mes ha sido revelada públicamente o explotada.

Se recomienda lo siguiente:

  • Instalar las actualizaciones disponibles por Microsoft inmediatamente después de las pruebas apropiadas, con prioridad para las vulnerabilidades críticas. Comenzando con sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Los clientes que ejecutan Windows 7, Windows Server 2008 R2 o Windows Server 2008 pueden comprar la “Actualización de seguridad extendida” para continuar recibiendo actualizaciones de seguridad. Consulte https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates para más información. 

El listado de las CVE se adjunta a continuación:


Tags: #Microsoft #Patch #Parche #Tuesday #Vulnerabilidad #Windows #Microsoft
  • Productos Afectados
  • Producto Versión
    Productos Microsoft Edge (basado en EdgeHTML y Chromium)
    ChakraCore
    Internet Explorer
    Office y Office Services y aplicaciones web
    Windows Defender
    Visual Studio
    Microsoft Dynamics
    Microsoft Apps para Aplicaciones Android y Microsoft para Mac.
    Microsoft Windows 8
    8.1 (32 y 64 bits)
    10 (32 y 64 bits)
    Microsoft Windows Server 2012
    2012 R2
    2016
    2019


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.