.
A Microsoft divulgou na terça-feira 56 vulnerabilidades, incluindo seis críticas e uma vulnerabilidade moderada que foi explorada.
Os patches lançados abordam vulnerabilidades e exposições comuns (CVEs) em: Microsoft Windows e componentes do Windows; Azure; Office e componentes de escritório; SysInternals; Microsoft Edge (baseado em Chromium); SharePoint Server; e a estrutura .NET.
O único CVE explorado divulgado no Patch Tuesday afeta o Windows SmartScreen Security Feature. Para explorá-lo, um invasor poderia criar um arquivo malicioso que escaparia das defesas do Mark of the Web (MOTW).
Quando você baixa um arquivo da Internet, o Windows adiciona o identificador de zona, ou MOTW, ao arquivo. Esse MOTW solicita que o Windows SmartScreen realize uma verificação de reputação. No entanto, essa exploração resulta em uma perda limitada de integridade e disponibilidade de recursos de segurança, como o Protected View no Microsoft Office, que depende da marcação MOTW.
Para explorar a vulnerabilidade, o invasor teria que convencer um usuário a visitar um site malicioso ou clicar em um anexo malicioso.
Os seis CVEs críticos divulgados na terça-feira eram todos vulnerabilidades de Execução Remota de Código (RCE). Eles impactam: Microsoft Dynamics NAV e Microsoft Dynamics 365 Business Central (no local), Microsoft SharePoint Server, PowerShell e Windows Secure Socket Tunneling Protocol (SSTP).
.
