– Microsoft lanzó una actualización en Windows 10 en diciembre para corregir al menos 58 agujeros de seguridad en sus productos y servicios, como parte de las actualizaciones de seguridad mensuales conocidas como Patch Tuesday.
Podría decirse que la cantidad de vulnerabilidades corregidas con la actualización Patch Tuesday de diciembre es menor que los cientos de correcciones que Microsoft suele publicar en los meses anteriores. Sin embargo, esto no significa que los errores o agujeros de seguridad que se solucionen no sean lo suficientemente graves o severos.
Al menos, más de un tercio de las correcciones de este mes se clasifican como vulnerabilidades de ejecución remota de código (RCE). Esta es una vulnerabilidad en los sistemas de seguridad que debe tratarse con rapidez y seriedad porque esta vulnerabilidad es muy fácil de explotar, sin ninguna interacción del usuario, ya sea a través de Internet o de una red local.
Para el mes de diciembre, hay RCE en varios productos de Microsoft, como Windows NTFS, Exchange Server, Microsoft Dynamics, Excel, PowerPoint, SharePoint, Visual Studio y también Hyper-V.
El mejor calificado de estos errores y probablemente el más fácil de explotar es el error RCE que afecta a Exchange Server (CVE-2020-1743, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132, y CVE-2020-17142), así como SharePoint (CVE-2020-17118 y CVE-2020-17121).
Se recomienda encarecidamente solucionar primero las vulnerabilidades de seguridad de ambos productos, ya que, por su naturaleza, los sistemas existentes en Exchange Server y SharePoint son los que se utilizan para conectarse a Internet y, por lo tanto, son los sistemas más vulnerables a los ataques.
Otro error importante que recibirá una actualización para este mes es un error en Hyper-V, un producto con la tecnología de virtualización de Microsoft, que se utiliza para alojar datos de máquinas virtuales. Debido a que puede explotarse a través de paquetes SMB maliciosos, este error podría permitir que los piratas informáticos se infiltren de forma remota en la zona de pruebas virtual, un sistema que Hyper-V está diseñado para proteger.
Otros productos de Microsoft que también recibieron correcciones de errores de seguridad incluyen: Microsoft Azure, Microsoft Edge, Microsoft Graphic Component, Microsoft Office, Visual Studio, Windows 10 y también Windows Media.
También se lanzaron otras correcciones para otros sistemas de seguridad de productos, incluidos productos de Adobe, SAP, Intel, VMWare, Chrome 87 y Android.
