Microsoft aborda 58 vulnerabilidades en Patch Tuesday de diciembre

09 Diciembre 2020
Crítico

La actualización de seguridad del martes de parches de Microsoft de diciembre de 2020 aborda 58 vulnerabilidades, 22 de las cuales son errores de ejecución remota de código (RCE).

Las actualizaciones de diciembre cubren una amplia gama de productos, incluidos Microsoft Windows, Edge (basado en EdgeHTML), ChakraCore, Microsoft Office y Office Services y Web Apps, Exchange Server, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK y Azure Sphere.

De los 58 parches lanzados hoy, 9 se clasifican como críticos, 46 se clasifican como importantes y 3 se clasifican como de gravedad media.

Vulnerabilidades críticas

De las 9 vulnerabilidades críticas, 3 afectan a Microsoft Exchange Server, 2 afectan a SharePoint y 2 afectan a Microsoft Dynamics 365. Las 2 restantes afectan a Hyper-V y Microsoft Edge.

  • Microsoft Exchange Server 
    • Se reportaron un total de seis vulnerabilidades de Microsoft Exchange Server este mes, CVE-2020-17132 y CVE-2020-17142 tienen una puntuación CVSS de 9.1 y CVE-2020-17144 es para Exchange Server 2010 SP3, que finalizó su soporte el 22 de octubre de 2020.
  • Hyper-V CVE-2020-17095
    • Microsoft lanzó una actualización para abordar una nueva vulnerabilidad de ejecución remota de código (RCE) que existe dentro de Hyper-V. Para aprovechar esta vulnerabilidad, un adversario podría ejecutar una aplicación personalizada en un invitado de Hyper-V que haría que el sistema operativo del host de Hyper-V permitiera la ejecución de código arbitrario cuando no valida correctamente los datos del paquete vSMB. La vulnerabilidad está presente en la mayoría de las versiones de Windows 10 y Windows Server 2004 en adelante.
  • SharePoint CVE-2020-17121 - CVE-2020-17118
    • La vulnerabilidad de SharePoint (CVE-2020-17121) señala que un atacante podría obtener acceso para crear un sitio y podría ejecutar código de forma remota dentro del kernel.  
  • Microsoft Dynamics CVE-2020-17152 - CVE-2020-17158
    • Vulnerabilidad de ejecución remota de código en Microsoft Dynamics 365 para Finance and Operations (on-premises)
  • Microsoft Edge CVE-2020-17131
    • Vulnerabilidad de corrupción de memoria de Chakra Scripting Engine

Otros problemas abordados por Microsoft este mes son:

  • CVE-2020-16996
    • Vulnerabilidad de omisión de la característica de seguridad de Kerberos.
  • CVE-2020-17122, CVE-2020-17123, CVE-2020-17125, CVE-2020-17127, CVE-2020- 17128, CVE-2020-17129 y CVE-2020-17130.
    • Errores de RCE en Excel que podrían permitir a los atacantes ejecutar código arbitrario en la máquina de una víctima

Este año 2020, el gigante de las tecnologías de la información ha lanzado un total de 1250 CVE.

Se recomienda lo siguiente:

  • Instalar las actualizaciones disponibles por Microsoft inmediatamente después de las pruebas apropiadas, con prioridad para las vulnerabilidades críticas. Comenzando con sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.
  • Los clientes que ejecutan Windows 7, Windows Server 2008 R2 o Windows Server 2008 pueden comprar la “Actualización de seguridad extendida” para continuar recibiendo actualizaciones de seguridad. Consulte https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates para más información. 

El listado de las CVE se adjunta a continuación:


Tags: #Microsoft #Patch #Parche #Tuesday #Vulnerabilidad #Windows
  • Productos Afectados
  • Producto Versión
    Productos Microsoft Microsoft Windows
    Edge (basado en EdgeHTML)
    ChakraCore
    Microsoft Office y Office Services y Web Apps
    Exchange Server
    Azure DevOps
    Microsoft Dynamics
    Visual Studio
    Azure SDK y Azure Sphere.
    Microsoft Windows 8
    8.1 (32 y 64 bits)
    10 (32 y 64 bits)
    Microsoft Windows Server 2012
    2012 R2
    2016
    2019


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.