No pacote de atualizações de setembro, a Microsoft corrigiu um total de 129 vulnerabilidades descobertas recentemente em seus respectivos produtos. Do total de falhas corrigidas, 23 foram classificadas como críticas, 105 como significativas e uma como moderada. Dessa forma, a empresa iguala o número de vulnerabilidades corrigidas no pacote de junho, que até agora tinha sido o maior da história, embora seja importante destacar que nos lançamentos dos últimos meses houve um aumento no número de falhas corrigidas, deixando o pacote de julho (com 123 vulnerabilidades) em terceiro lugar e o de agosto na quarta colocação.
Ao contrário do mês passado, no qual foram corrigidas duas vulnerabilidades zero-day que estavam sendo ativamente exploradas por cibercriminosos, nenhuma vulnerabilidade sob exploração foi registrada no pacote de setembro. Outro fato relevante é que 32 das vulnerabilidades corrigidas são de execução remota de código e 20 delas foram classificadas como críticas. Lembre-se de que a possibilidade de executar código arbitrário pode permitir que um atacante acesse, modifique ou exclua dados, e até mesmo instale programas.
Uma das vulnerabilidades críticas que mais se destaca é a CVE-2020-16875. Trata-se de uma falha de corrupção de memória que existe nas versões 2016 e 2019 do Microsoft Exchange server. A vulnerabilidade faz com que um atacante possa executar código remotamente, podendo ser explorada através do envio de um e-mail especialmente criado para um servidor Exchange. Apesar disso, de acordo com a Microsoft, sua probabilidade de exploração é baixa.
No caso do Microsoft SharePoint, 16 vulnerabilidades foram corrigidas no último pacote: 6 de cross-site scripting (XSS) e 7 de execução de código. Entre as falhas deste mês, destaca-se a CVE-2020-1210, cuja gravidade segundo a escala CVSS é de 9,9 sobre 10.
Para obter mais informações sobre o último pacote de atualizações da Microsoft, confira a lista completa de vulnerabilidades corrigidas.
