Microsoft a lansat în mod oficial soluții pentru 112 vulnerabilități de securitate recent descoperite ca parte a patch-ului său din noiembrie 2020 (November 2020 Patch Tuesday), inclusiv un defect zero-day exploatat activ, dezvăluit de echipa de securitate Google săptămâna trecută.

Lansarea soluționează defectele, dintre care 17 sunt considerate critice, 93 sunt considerate importante, iar două sunt evaluate cu severitate scăzută, aducând din nou numărul de patch-uri peste 110 după o scădere a numărului acestora luna trecută.

Actualizările de securitate cuprind o gamă de software, inclusiv Microsoft Windows, Office și Office Services și Web Apps, Internet Explorer, Edge, ChakraCore, Exchange Server, Microsoft Dynamics, Windows Codecs Library, Azure Sphere, Windows Defender, Microsoft Teams și Visual Studio .

Principalul defect dintre cele remediate este CVE-2020-17087 (scor CVSS 7.8), un defect de buffer overflaw în Windows Kernel Cryptography Driver („cng.sys”) care a fost dezvăluit pe 30 octombrie de echipa Google Project Zero ca fiind utilizat împreună cu un zero-day al Chrome pentru a compromite utilizatorii Windows 7 și Windows 10.

La rândul său, Google a lansat luna trecută o actualizare pentru browserul său Chrome pentru a aborda acest zero-day (CVE-2020-15999).

Recomandările Microsoft despre defect nu intră în niciun detaliu dincolo de faptul că a fost o „Windows Kernel Local Elevation of Privilege Vulnerability”, în parte, pentru a restructura avizele de securitate în conformitate cu formatul Common Vulnerability Scoring System (CVSS) începând cu această lună.

În afara vulnerabilității zero-day, actualizarea remediază o serie de vulnerabilități la executarea codului la distanță (remote code execution – RCE) care afectează Exchange Server (CVE-2020-17084), Network File System (CVE-2020-17051) și Microsoft Teams (CVE-2020-17091), precum și o eroare de bypass de securitate în software-ul de virtualizare Windows Hyper-V (CVE-2020-17040).

CVE-2020-17051 este evaluat cu 9,8 din maximum 10 pe scorul CVSS, ceea ce îl face o vulnerabilitate critică. Cu toate acestea, Microsoft a observat că complexitatea atacului defectului – condițiile care nu pot fi controlate de atacator, care trebuie să existe pentru a exploata vulnerabilitatea – este scăzută.

Ca și în cazul zero-day, recomandările asociate cu aceste deficiențe de securitate sunt sumare în descrieri, cu puține informații sau deloc despre modul în care aceste defecte RCE sunt folosite sau despre ce caracteristică de securitate din Hyper-V este ocolită.

Alte defecte critice remediate de Microsoft luna aceasta includ vulnerabilități de corupere a memoriei în Microsoft Scripting Engine (CVE-2020-17052) și Internet Explorer (CVE-2020-17053) și mai multe defecte RCE în biblioteca HEVC Video Extensions Codecs.

Este foarte recomandat ca utilizatorii Windows și administratorii de sistem să aplice cele mai recente patch-uri de securitate pentru a rezolva amenințările asociate cu aceste probleme.

Pentru a instala cele mai recente actualizări de securitate, utilizatorii Windows pot accesa Start > Settings > Update & Security > Windows Update sau selectând ”Check for Windows updates”.

Sursa: TheHackerNews