No pacote de atualizações de outubro, a Microsoft corrigiu 87 vulnerabilidades nos produtos da empresa. Entre as falhas, 11 foram categorizadas como críticas de acordo com a severidade, 75 como importantes e uma moderada. Este mês, o número total de vulnerabilidades caiu significativamente em comparação com o pacote de setembro, quando um total de 129 falhas foram corrigidas.

Entre as 87 vulnerabilidades corrigidas, 21 correspondem a falhas de execução remota de código (RCE) em produtos como Excel ou Outlook. Por outro lado, assim vários meios de comunicação destacaram, a falha CVE-2020-16898 é a mais grave dessa atualização. Trata-se de uma vulnerabilidade RCE no protocolo TCP/P que ocorre ao usar um pacote ICMPv6 de anúncio de roteador (Router Advertisement) mal-formado. Dessa forma, um cibercriminoso que consiga explorar a falha pode executar comandos remotamente no computador selecionado como alvo do ataque.

Entre os sistemas vulneráveis ​​à falha CVE-2020-16898 estão o Windows 10 e o Windows Server 2019. Por outro lado, embora a forma mais recomendada de corrigir essa vulnerabilidade seja instalar o patch, outro método de correção é desabilitar o ICMPv6 RDNSS. Para fazer isso, a Microsoft forneceu como workaround um comando PowerShell que não requer uma reinicialização após a aplicação das alterações.

A CVE-2020-16947, também do RCE, mas neste caso presente no Microsoft Outlook, foi corrigida nessa última atualização. De acordo com a Microsoft, caso queira explorar essa falha, um cibercriminoso pode enviar um e-mail contendo um arquivo especialmente projetado e convencer o usuário a abri-lo. Já em um cenário de ataque web, o cibercriminoso pode convencer o usuário a visitar uma URL maliciosa que hospeda um arquivo que permite a exploração da falha.

As vulnerabilidades críticas restantes, todas de execução remota de código, são as seguintes:

Para saber mais sobre o pacote de atualizações de outubro, acesse o site oficial da Microsoft.