Microsoft lanzó el paquete de actualización de seguridad de noviembre en el que repara 112 vulnerabilidades en sus productos. Del total, 17 fueron catalogadas como críticas, 93 como importantes y dos como moderadas. Por otra parte, una gran cantidad de fallos corresponden a vulnerabilidades de ejecución remota de código (RCE).

Zero-day explotada de manera activa parcheada en actualización de noviembre

La semana pasada el equipo de investigadores de Google Project Zero dio a conocer la existencia de una vulnerabilidad zero-day (CVE-2020-17087) en Windows. La misma ha estado bajo activa explotación en ataques dirigidos y siendo utilizada conjuntamente con otra vulnerabilidad zero-day (CVE-2020-15999) en Chrome que había sido parcheada el pasado 20 de octubre.

La CVE-2020-17087 es una vulnerabilidad que permite la escalación de privilegios, que radica en el controlador de criptografía del kernel (cng.sys) y afecta a todas las versiones de los sistemas operativos Windows que cuentan con soporte.

Otras vulnerabilidades corregidas

Del total de 17 vulnerabilidades críticas reparadas, se destaca la CVE-2020-17051, con un puntaje de 9.8 en la escala de severidad de CVSS. Se trata de una vulnerabilidad de ejecución remota de código en el sistema de archivos en red (NFS) de Windows, el cual ofrece una solución para compartir archivos incluso entre entornos heterogéneos, es decir, sean equipos con o sin Windows.

Lamentablemente, Microsoft ha decidido acotar detalles de la información sobre las vulnerabilidades reportadas este mes, pero a juzgar por la severidad se trata de una vulnerabilidad peligrosa.

Para más información sobre la actualización de noviembre, visita los detalles en el sitio oficial de Microsoft.