Ao total, a Microsoft corrigiu 112 vulnerabilidades no pacote de atualizações de novembro. Entre elas, 24 falhas podem executar código de forma remota.
A Microsoft lançou o pacote de atualizações de segurança de novembro, que corrige 112 vulnerabilidades em seus produtos. Do total, 17 foram classificadas como críticas, 93 como importantes e duas como moderadas. É importante destacar que várias dessas falhas são vulnerabilidades de execução remota de código (RCE).
Falha zero-day que estava sendo explorada de forma ativa é corrigida na atualização
Na semana passada, a equipe de pesquisadores do Google Project Zero divulgou a existência de uma vulnerabilidade zero-day (CVE-2020-17087) no Windows. A falha estava sendo explorada de forma ativa em ataques direcionados e em conjunto com outra vulnerabilidade zero-day (CVE-2020-15999) no Chrome que foi corrigida em 20 de outubro.
A CVE-2020-17087 é uma vulnerabilidade de escalonamento de privilégio, que reside no driver de criptografia do kernel (cng.sys) e afeta todas as versões dos sistemas operacionais Windows que contam com suporte.
Outras vulnerabilidades corrigidas
Entre as 17 vulnerabilidades críticas corrigidas, a falha CVE-2020-17051 ganha destaque e conta com pontuação de 9,8 na avaliação de severidade do CVSS. Trata-se de uma vulnerabilidade de execução remota de código no Windows Network File System (NFS), que oferece uma solução para compartilhar arquivos mesmo entre ambientes heterogêneos, ou seja, em computadores com ou sem o Windows.
Infelizmente, a Microsoft decidiu restringir os detalhes das informações sobre as vulnerabilidades relatadas este mês. No entanto, se tivermos em conta a severidade de cada uma delas, podemos dizer que são falhas perigosas.
Para obter mais informações sobre a atualização de novembro, acesse o site oficial da Microsoft.
Discussão