Ultima zi din seria Microsoft Patch Tuesday a anului aduce un alt lot nou de remedieri pentru produsele Microsoft și, deși numărul poate fi mai mic, patch-urile au aceeași importanță.

În ultima zi de marți a anului dedicată patch-urilor, Microsoft a lansat remedieri la nu mai puțin de 58 de vulnerabilități din peste zece produse, inclusiv Windows și alte programe Microsoft.

Nouă defecte au primit cel mai mare grad de severitate - „critic”, în timp ce 46 au primit un rating „important” și trei au fost clasificate ca „moderate”. Este important să rețineți că niciuna dintre erorile care au făcut parte din lansarea patch-urilor nu au fost listate ca fiind cunoscute public sau au fost în exploatare activă în momentul lansării.

Conform acestui rezumat al Institutului Tehnologic SANS, 22 de lacune de executare a codului de la distanță au fost integrate ca parte a pachetului de patch-uri de securitate din această lună. Aceasta include două vulnerabilități critice în Microsoft SharePoint, CVE-2020-17118 și CVE-2020-17121, unde exploatarea este văzută ca fiind mai probabilă de către gigantul tehnologic din Redmond.

Deși Microsoft nu a dezvăluit multe detalii despre prima vulnerabilitate, ei au continuat să descrie un posibil vector de atac pentru a doua: „Într-un atac bazat pe rețea, un atacator poate obține acces pentru a crea un site și poate executa codul de la distanță în nucleu. Utilizatorul ar avea nevoie să aibă privilegii.”

O altă vulnerabilitate RCE care merită menționată rezidă în Hyper-V de la Microsoft, care este utilizat pentru a crea medii de mașini virtuale. Identificat ca CVE-2020-17095 și având un scor de 8,5 din 10 pe scala CVSS, lacuna de securitate ar putea fi utilizată de un vector de amenințare pentru a compromite mașinile virtuale Hyper-V. „Un atacator ar putea rula o aplicație special concepută pe un guest Hyper-V care ar putea determina sistemul de operare gazdă Hyper-V să execute cod arbitrar atunci când nu va valida corect datele pachetului vSMB”, a declarat Microsoft.

Actualizările de securitate au fost lansate pentru o gamă largă de produse, inclusiv Windows, mai multe versiuni ale browserului Edge, Microsoft Office, Visual Studio, precum și alte produse și servicii din portofoliul Microsoft. În comparație cu numărul obișnuit de patch-uri, pachetul din această lună conține printre cele mai puține actualizări, de exemplu, seria Patch Tuesday de luna trecută, a lansat 112 vulnerabilități remediate.

Atât utilizatorii obișnuiți, cât și administratorii de sistem sunt sfătuiți să aplice patch-urile cât mai curând posibil.