Ontem (08), a Microsoft lançou o último pacote de atualizações oficial para 2020, no qual corrige um total de 58 vulnerabilidades em diferentes produtos. Entre as falhas, de acordo com a gravidade, nove são classificadas como críticas, 48 ​​como importantes e duas como moderadas. Além disso, do total de vulnerabilidades corrigidas, 22 são de execução remota de código (RCE).

O número de falhas corrigidas no pacote de atualizações de dezembro foi bem menor do que os das edições anteriores: em novembro foram corrigidas 112 vulnerabilidades, em outubro, 87, e, em setembro, 129.

Das nove vulnerabilidades críticas corrigidas, três afetam o Microsoft Exchange Server e duas podem causar problemas ao Microsoft SharePoint. No caso da CVE-2020-17121 e CVE-2020-17118, ambas vulnerabilidades RCE no SharePoint, a Microsoft classificou a exploração como provável. Entre as falhas no Exchange Server, as três vulnerabilidades críticas são CVE-2020-17117, CVE-2020-17132 e CVE-2020-17142 - todas de execução remota de código.

A CVE-2020-17095 é outra das vulnerabilidades críticas – também de execução remota de código. Essa falha está presente no Hyper-V e, caso seja explorada, pode fazer com que um atacante consiga escalar privilégios. Essa vulnerabilidade foi a que obteve a maior pontuação na escala de gravidade do CVSS nessa última edição, com 8,5.

Além dos patches, a empresa divulgou um alerta relacionado à vulnerabilidade de envenenamento de DNS que analisamos no mês passado no WeLiveSecurity e que foi descoberta por um grupo de pesquisadores da Universidade da Califórnia, em Riverside, em conjunto com pesquisadores de outras universidades e empresas privadas. Dessa forma, a Microsoft garante que está ciente dessa vulnerabilidade que permite ataques de envenenamento no cache DNS e oferece uma solução alternativa (workaround) para mitigar a exploração da falha.

Veja mais informações sobre o pacote de atualizações de dezembro no site oficial da Microsoft.