Microsoft lanzó correcciones para 120 vulnerabilidades, incluidas dos vulnerabilidades de día cero, en su última actualización de seguridad de Patch Tuesday para Windows 10.

La última ronda de actualizaciones cubre 13 productos e incluye correcciones para 17 errores que Microsoft ha marcado como "críticos" y 97 catalogados como "importantes". Microsoft comenzó a implementar parches ayer, 11 de agosto, que cubren la versión 2004 de Windows 10 hasta Windows 7 y Server 2008.

VER: Zero Trust Security: una hoja de trucos (PDF gratuito) (PDF gratuito) (TechRepublic)

Entre las principales vulnerabilidades que se repararán se encuentra la designación de error CVE-2020-1464, una vulnerabilidad de suplantación de identidad en la que un atacante podría eludir las funciones de seguridad de Windows 10 y cargar archivos firmados incorrectamente en la máquina de un usuario. Esta vulnerabilidad ha sido divulgada públicamente y detectada en ataques reales, aunque Microsoft no proporcionó más detalles.

El segundo exploit de día cero parcheado por Microsoft es CVE-2020-1380, una vulnerabilidad de ejecución remota de código en el motor de secuencias de comandos de Internet Explorer. La vulnerabilidad fue informada a Microsoft por el proveedor de software antivirus Kaspersky y permite a los atacantes ejecutar código malicioso en Internet Explorer a través del cual un usuario no autorizado podría tomar el control de otras partes del sistema de la víctima.

Según Microsoft, un atacante que explotara con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario autorizado: si el usuario actual inicia sesión con derechos de administrador, por ejemplo, el atacante podría tomar el control del sistema e instalar programas; ver, modificar o eliminar datos; o crear nuevas cuentas a voluntad.

Kaspersky explicó que el exploit es peligroso ya sea que Internet Explorer se use o no como el navegador web principal en una PC: algunas aplicaciones de Microsoft, como Office, a menudo usan Internet Explorer para mostrar videos y mostrar páginas web en documentos a través de la extensión ActiveX. Por lo tanto, un atacante podría explotar el código en ActiveX y ejecutarlo a través de un documento o atraer a los usuarios a un sitio malicioso.

VER: Trucos del menú Inicio de Windows 10 (TechRepublic Premium)

Otra vulnerabilidad notable abordada en la actualización de seguridad de agosto es CVE-2020-147. Este exploit permitió a un atacante usar el protocolo remoto de inicio de sesión de red (MS-NRPC) para iniciar sesión en un controlador de dominio y obtener acceso de administrador de dominio. Microsoft está abordando esta vulnerabilidad en una actualización de dos partes, comenzando con un cambio en la forma en que Netlogon maneja el uso de canales seguros.

Las correcciones adicionales implementadas por Microsoft cubren su navegador Edge, Office, SQL Server Management Studio, .Net Framework y otros componentes y herramientas para desarrolladores. Adobe también realizó 26 parches para vulnerabilidades en sus aplicaciones Acrobat y Reader.

Todas las últimas correcciones de Patch Tuesday están disponibles a través de Windows Update. ZDNet ha publicado una lista completa de todo lo incluido, así como una lista de actualizaciones de seguridad publicadas por otras empresas esta semana.