Fecha de publicación:  09/09/2020  Importancia:  5 – Crítica
Fuente:  https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/boletin-seguridad-microsoft-septiembre-2020
Recursos afectados:
  • Microsoft Windows,
  • Microsoft Edge (EdgeHTML-based),
  • Microsoft Edge (Chromium-based),
  • Microsoft ChakraCore,
  • Internet Explorer,
  • SQL Server,
  • Microsoft JET Database Engine,
  • Microsoft Office and Microsoft Office Services and Web Apps,
  • Microsoft Dynamics,
  • Visual Studio,
  • Microsoft Exchange Server,
  • SQL Server,
  • ASP.NET,
  • Microsoft OneDrive,
  • Azure DevOps.
Descripción:

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de septiembre, consta de 127 vulnerabilidades, 23 clasificadas como críticas y 104 como importantes.

Solución:

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle:

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • elusión de las medidas de seguridad,
  • suplantación de identidad (spoofing),
  • manipulación (tampering).

[Actualización 10/09/2020]: Cabe destacar la vulnerabilidad en Microsoft Exchange server debida a una inadecuada validación de argumentos cmdlet, que podría permitir a un atacante autenticado, con rol Exchange específico, ejecutar código arbitrario en el contexto del usuario System, resultando en el compromiso total del servidor exchange. Se ha asignado el identificador CVE-2020-16875 para esta vulnerabilidad.