En el día de ayer Microsoft lanzó el último paquete de actualizaciones oficial de este 2020, en el cual repara un total de 58 vulnerabilidades en diferentes productos. Nueve de estos fallos fueron clasificados de acuerdo con su severidad como críticos, 48 como importantes y dos como moderados. Asimismo, del total de vulnerabilidades reparadas 22 son de ejecución remota de código (RCE).

La cantidad de vulnerabilidades reparadas en el paquete de actualizaciones de diciembre es considerablemente menor que en las últimas ediciones, como en la de noviembre, cuando se repararon un total de 112; la de octubre con 87, o la de septiembre con 129.

De las nueve vulnerabilidades críticas reparadas, tres afectan a Microsoft Exchange Server y dos a Microsoft SharePoint. En el caso de la CVE-2020-17121 y la CVE-2020-17118, ambas vulnerabilidades de RCE en SharePoint, Microsoft catalogó su explotación como probable. En cuanto a las que radican en Exchange Server, las tres vulnerabilidades críticas son CVE-2020-17117, CVE-2020-17132, y CVE-2020-17142; todas de ejecución remota de código.

La CVE-2020-17095 es otra de las vulnerabilidades críticas y también es de RCE.  Está presente en Hyper-V y en csao de ser explotada permitiría a un atacante escalar privilegios. Esta fallo fue el que recibió en esta edición el puntaje en la escala de severidad CVSS más alto, con 8.5.

Por último, vale la pena revisar las vulnerabilidades corregidas en Microsoft Office, se trata de un total de cinco fallos clasificados como importantes.

Además de los parches, la compañía lanzó una advertencia relacionada con la vulnerabilidad de envenenamiento de DNS que analizamos el mes pasado en WeLiveSecurity y que fue descubierta por un grupo de investigadores de la Universidad de California en Riverside, en colaboración con investigadores de otras universidades y compañías privadas. De esta manera, Microsoft asegura estar al tanto de esta vulnerabilidad que permite realizar ataques de envenenamiento de la caché DNS y ofrece una solución alternativa (workaround) para mitigar su explotación.

Para más información sobre el paquete de actualizaciones de diciembre, visita el sitio oficial de Microsoft.