Parches de los martes de Microsoft en Mayo, sin 0Day activos
Bienvenidos a los parches de los martes del mes de Mayo. Este mes hay mucho que parchear en números, no así tanto en criiticidad. Aquí se cubren todos las lineas de producto de Microsoft, tanto Windows, como Office, navegadores y otro software diverso.
Existen 111 nuevos CVE únicos que afectan a 6 tecnologías con actualizaciones críticas pendientes de ser parcheadas aunque, al menos, no tenemos ningún exploit que esté siendo aprovechado y no tenga parche.
El pasado 27 de Abril Microsoft descubrió una vulnerabilidad en Microsoft Teams que permitía a un atacante controlar una cuenta de Microsoft sin permiso. Se actualizó por tanto la herramienta fuera de ciclo de parches.
No todos los meses me hago eco de los parches de Microsoft pero suelo hacerlo con cierta frecuencia y hay una categoría de noticias al respecto por si quieres revisar otros pasados.
Vulnerabilidades críticas en Windows y Office según estos boletines
Dedícale el tiempo necesario a buscar las herramientas que afecten a tu entorno actual y el de tu empresa, especialmente sensibles son los productos con problemas catalogados como críticos, sobre todo si son Windows, Office o navegadores.
Puedes buscar los parches individualmente en el catalog de Microsoft.
| Software | Severidad | ID | Otros | Descripción |
| Windows 8.1, 8.1 RT, 10, Server 2012, 2012 R2, 2016, 2019 | Crítica | CVE-2020-0909 CVE-2020-0963 CVE-2020-1010 CVE-2020-1021 CVE-2020-1028 CVE-2020-1048 CVE-2020-1051 CVE-2020-1054 CVE-2020-1055 CVE-2020-1061 CVE-2020-1067 CVE-2020-1068 CVE-2020-1070 CVE-2020-1071 CVE-2020-1072 CVE-2020-1075 CVE-2020-1076 CVE-2020-1077 CVE-2020-1078 CVE-2020-1079 CVE-2020-1081 CVE-2020-1082 CVE-2020-1084 CVE-2020-1086 CVE-2020-1087 CVE-2020-1088 CVE-2020-1090 CVE-2020-1109 CVE-2020-1110 CVE-2020-1111 CVE-2020-1112 CVE-2020-1113 CVE-2020-1114 CVE-2020-1116 CVE-2020-1117 CVE-2020-1118 CVE-2020-1121 CVE-2020-1123 CVE-2020-1124 CVE-2020-1125 CVE-2020-1126 CVE-2020-1131 CVE-2020-1132 CVE-2020-1134 CVE-2020-1135 CVE-2020-1136 CVE-2020-1137 CVE-2020-1138 CVE-2020-1139 CVE-2020-1140 CVE-2020-1141 CVE-2020-1142 CVE-2020-1143 CVE-2020-1144 CVE-2020-1145 CVE-2020-1149 CVE-2020-1151 CVE-2020-1153 CVE-2020-1154 CVE-2020-1155 CVE-2020-1156 CVE-2020-1157 CVE-2020-1158 CVE-2020-1164 CVE-2020-1165 CVE-2020-1166 CVE-2020-1174 CVE-2020-1175 CVE-2020-1176 CVE-2020-1179 CVE-2020-1184 CVE-2020-1185 CVE-2020-1186 CVE-2020-1187 CVE-2020-1188 CVE-2020-1189 CVE-2020-1190 CVE-2020-1191 | Mitigación: No Explotado: No Público: No | Denegación de servicio Elevación de privilegios Filtrado de información Ejecución remota de código Spoofing Bypass de seguridad |
| MS Edge basado en HTML | Crítica | CVE-2020-1037 CVE-2020-1056 CVE-2020-1059 CVE-2020-1065 CVE-2020-1096 | Mitigación: No Explotado: No Público: No | Elevación de privilegios Ejecución remota de código Spoofing |
| Chakracore (todas) | Crítica | CVE-2020-1037 CVE-2020-1065 | Mitigación: No Explotado: No Público: No | Ejecución remota de código |
| IE 11 | Crítica | CVE-2020-1035 CVE-2020-1058 CVE-2020-1060 CVE-2020-1062 CVE-2020-1064 CVE-2020-1092 CVE-2020-1093 | Mitigación: No Explotado: No Público: No | Ejecución remota de código |
| Office 365 365 Apps for Enterprise Excel 2010, 2013, 2016, 2019, 2016 for Mac, 2019 for Mac SharePoint Enterprise Server 2013, 2016 SharePoint Foundation 2013 SharePoint Server 2020, 2019 Office 365 | Crítica | CVE-2020-1024 CVE-2020-1099 CVE-2020-1069 CVE-2020-1100 CVE-2020-1103 CVE-2020-1107 CVE-2020-1105 CVE-2020-1106 CVE-2020-0901 CVE-2020-1023 CVE-2020-1101 CVE-2020-1102 CVE-2020-1104 | Mitigación: No Explotado: No Público: No | Filtrado de información |
| Visual Studio 2017, 2019, Code | Crítica | CVE-2020-1161 CVE-2020-1108 CVE-2020-1171 CVE-2020-1192 | Mitigación: No Explotado: No Público: No | Denegación de servicio Ejecución remota de código |
| Microsoft Dynamics 365 Version 8.2, 9.0 | Importante | CVE-2020-1063 | Mitigación: No Explotado: No Público: No | Spoofing |
| .NET Framework 2.0 SP2, 3.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 | Importante | CVE-2020-1066 CVE-2020-1108 | Mitigación: No Explotado: No Público: No | Denegación de servicio Elevación de privilegio |
| .NET Core 2.1, 3.1 ASP .NET Core 3.1 | Importante | CVE-2020-1108 CVE-2020-1161 | Mitigación: No Explotado: No Público: No | Denegación de servicio |
| Power Bi Report Server | Importante | CVE-2020-1173 | Mitigación: No Explotado: No Público: No | Spoofing |
Antes de despedirnos debemos recordar algo y es que hoy más que nunca es importante establecer controles y actualizar todo el software lo antes posible, ya que con el teletrabajo los fallos que afecten a herramientas colaborativas como pueden ser Microsoft Teams aumentan enormemente nuestra superficie de exposición.
Aquí algunos consejos para securizar esta herramienta en esta época de Work from Home.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.