Microsoft emitió sus actualizaciones de Patch Tuesday para junio de 2020, reparando 129 vulnerabilidades en sus productos y servicios. Esto marca el lanzamiento de seguridad mensual más grande de la compañía hasta la fecha y el cuarto mes consecutivo de más de 100 CVE (vulnerabilidades y exposiciones comunes) parcheadas.
Once de los errores abordados hoy se clasifican como críticos y 118 se clasifican como importantes. Las vulnerabilidades existen en Microsoft Windows, Internet Explorer, navegador Edge, ChakraCore, Office, Office Services y Web Apps, Windows Defender, Microsoft Dynamics, Visual Studio, Azure DevOps y Microsoft Apps para Android.
Tendencias interesantes:
Protocolo SMB (Microsoft Server Message Block)
Correcciones para tres fallas en el protocolo SMB (Microsoft Server Message Block). Dos de estos residen en SMBv3: uno es un error de denegación de servicio ( CVE-2020-1284 ) que requiere la autenticación de un atacante; otra es una vulnerabilidad de divulgación de información (CVE-2020-1206) que no requiere autenticación. El tercero es CVE-2020-1301, una falla de ejecución remota de código (RCE) en SMBv1 que requiere autenticación y afecta a Windows 7 y 2008, que alcanzaron el fin del soporte en enero de 2020, pero han recibido parches (La recomendación es mantener deshabilitado SMBv1)
Vulnerabilidades de ejecución remota de código
Las vulnerabilidades de ejecución remota de código para este mes constituyen nueve de los 11 defectos críticos solucionados.
Microsoft corrige una falla de RCE crítico en SharePoint Server, que si se explota podría permitir a un atacante realizar acciones en el contexto de seguridad del proceso del grupo de aplicaciones de SharePoint CVE-2020-1181. Los errores más críticos de RCE se abordaron en la interfaz de dispositivo gráfico de Windows ( CVE-2020-1248 ) y Windows OLE ( CVE-2020-1281 ). Además se parcheó las vulnerabilidades de RCE en Excel ( CVE-2020-1225 y CVE-2020-1226 ), Word para Android ( CVE-2020-1223 ), LNK ( CVE-2020-1299 ), Windows Shell ( CVE-2020-1286 ) y el Motor de base de datos Jet ( CVE-2020-1208 y CVE-2020-1236 ). también se abordó varias fallas de ejecución remota de código en el sistema operativo Windows, desde Windows 7 hasta Windows 2019.
Se requiere la participación del usuario en muchos de estos ataques RCE, que continúa demostrando un problema dada la cantidad de personas que aún hacen clic en enlaces, abren archivos y visitan sitios web potencialmente sospechosos.
Según Microsoft, ninguna de las vulnerabilidades resueltas este mes ha sido revelada públicamente o explotada.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
CVE-2020-1340
CVE-2020-1199
CVE-2020-1334
CVE-2020-1196
CVE-2020-1197
CVE-2020-1201
CVE-2020-1204
CVE-2020-1209
CVE-2020-1211
CVE-2020-1217
CVE-2020-1222
CVE-2020-1120
CVE-2020-1194
CVE-2020-1231
CVE-2020-1233
CVE-2020-1234
CVE-2020-1235
CVE-2020-1246
CVE-2020-1271
CVE-2020-1307
CVE-2020-1312
CVE-2020-1316
CVE-2020-1324
CVE-2020-1162
CVE-2020-1241
CVE-2020-1244
CVE-2020-1255
CVE-2020-1259
CVE-2020-1263
CVE-2020-1268
CVE-2020-1270
CVE-2020-1283
CVE-2020-1290
CVE-2020-1291
CVE-2020-1292
CVE-2020-1296
CVE-2020-1305
CVE-2020-1306
CVE-2020-1309
CVE-2020-1313
CVE-2020-1314
CVE-2020-1317
CVE-2020-1163
CVE-2020-1170
CVE-2020-1329
CVE-2020-1242
CVE-2020-1238
CVE-2020-1304
CVE-2020-1277
CVE-2020-1272
CVE-2020-1302
CVE-2020-1343
CVE-2020-1315
CVE-2020-1223
CVE-2020-1219
CVE-2020-1181
CVE-2020-1183
CVE-2020-1148
CVE-2020-1295
CVE-2020-1298
CVE-2020-1320
CVE-2020-1177
CVE-2020-1178
CVE-2020-1289
CVE-2020-1297
CVE-2020-1318
CVE-2020-1323
CVE-2020-1208
CVE-2020-1236
CVE-2020-0915
CVE-2020-0916
CVE-2020-0986
CVE-2020-1348
CVE-2020-1207
CVE-2020-1160
CVE-2020-1251
CVE-2020-1253
CVE-2020-1258
CVE-2020-1279
CVE-2020-1261
CVE-2020-1286
CVE-2020-1299
CVE-2020-1202
CVE-2020-1203
CVE-2020-1278
CVE-2020-1237
CVE-2020-1247
CVE-2020-1262
CVE-2020-1269
CVE-2020-1274
CVE-2020-1275
CVE-2020-1280
CVE-2020-1282
CVE-2020-1310
CVE-2020-1264
CVE-2020-1265
CVE-2020-1266
CVE-2020-1273
CVE-2020-1276
CVE-2020-1225
CVE-2020-1226
CVE-2020-1229
CVE-2020-1321
CVE-2020-1322
CVE-2020-1220
CVE-2020-1331
CVE-2020-1257
CVE-2020-1293
CVE-2020-1213
CVE-2020-1214
CVE-2020-1215
CVE-2020-1216
CVE-2020-1073
CVE-2020-1230
CVE-2020-1260
CVE-2020-1212
CVE-2020-1281
CVE-2020-1254
CVE-2020-1300
CVE-2020-1232
CVE-2020-1239
CVE-2020-1311
CVE-2020-1327
CVE-2020-1248
CVE-2020-1294
CVE-2020-1287
CVE-2020-1206
CVE-2020-1284
CVE-2020-1301
https://portal.msrc.microsoft.com/en-us/se... |
Producto | Versión |
---|---|
Microsoft Windows |
8 8.1 (32 y 64 bits) 10 (32 y 64 bits) |
Microsoft Windows Server |
2012 2012 R2 2016 2019 |
Productos Microsoft |
Edge (basado en EdgeHTML y Chromium) ChakraCore Internet Explorer Office y Office Services y aplicaciones web Windows Defender Visual Studio Microsoft Dynamics Microsoft Apps para Aplicaciones Android y Microsoft para Mac. |