Microsoft corrige 87 vulnerabilidades na atualização de outubro

Do total de vulnerabilidades corrigidas, 11 são consideradas críticas e todas podem permitir a execução remota de código.

No pacote de atualizações de outubro, a Microsoft corrigiu 87 vulnerabilidades nos produtos da empresa. Entre as falhas, 11 foram categorizadas como críticas de acordo com a severidade, 75 como importantes e uma moderada. Este mês, o número total de vulnerabilidades caiu significativamente em comparação com o pacote de setembro, quando um total de 129 falhas foram corrigidas.

Entre as 87 vulnerabilidades corrigidas, 21 correspondem a falhas de execução remota de código (RCE) em produtos como Excel ou Outlook. Por outro lado, assim vários meios de comunicação destacaram, a falha CVE-2020-16898 é a mais grave dessa atualização. Trata-se de uma vulnerabilidade RCE no protocolo TCP/P que ocorre ao usar um pacote ICMPv6 de anúncio de roteador (Router Advertisement) mal-formado. Dessa forma, um cibercriminoso que consiga explorar a falha pode executar comandos remotamente no computador selecionado como alvo do ataque.

Entre os sistemas vulneráveis à falha CVE-2020-16898 estão o Windows 10 e o Windows Server 2019. Por outro lado, embora a forma mais recomendada de corrigir essa vulnerabilidade seja instalar o patch, outro método de correção é desabilitar o ICMPv6 RDNSS. Para fazer isso, a Microsoft forneceu como workaround um comando PowerShell que não requer uma reinicialização após a aplicação das alterações.

A CVE-2020-16947, também do RCE, mas neste caso presente no Microsoft Outlook, foi corrigida nessa última atualização. De acordo com a Microsoft, caso queira explorar essa falha, um cibercriminoso pode enviar um e-mail contendo um arquivo especialmente projetado e convencer o usuário a abri-lo. Já em um cenário de ataque web, o cibercriminoso pode convencer o usuário a visitar uma URL maliciosa que hospeda um arquivo que permite a exploração da falha.

As vulnerabilidades críticas restantes, todas de execução remota de código, são as seguintes:

CVE-2020-16891: no Windows Hyper-V
CVE-2020-16967 e CVE-2020-16968: ambas no Windows Camera Codec
CVE-2020-16951 e CVE-2020-16952: ambas no Microsoft SharePoint
CVE-2020-16915: no Windows Media Foundation
CVE-2020-17003: no mecanismo de renderização do Base3D
CVE-2020-16923: no Microsoft Graphics Components
CVE-2020-16911: no Windows GDI

Para saber mais sobre o pacote de atualizações de outubro, acesse o site oficial da Microsoft.

14 Oct 2020 - 11:14AM

Cadastre-se para receber por e-mail todas as atualizações sobre novos artigos que publicamos em nossa seção referente à Crise na Ucrânia.

Artigos semelhantes

Vulnerabilidades

Cadastre-se para receber por e-mail todas as atualizações sobre novos artigos que publicamos em nossa seção referente à Crise na Ucrânia.

Newsletter

Artigos semelhantes

Apple corrige vulnerabilidade zero-day no iPhone 5s, 6s e 6s Plus

Windows 7 Professional e Enterprise deixarão de receber atualizações de segurança

Exploit: a chave para aproveitar uma vulnerabilidade

As 5 vulnerabilidades mais utilizadas por cibercriminosos na América Latina em 2022

Discussão