Como parte da atualização de julho na terça-feira, Engenheiros da Microsoft fixo 123 vulnerabilidades em 13 produtos diferentes. Qualquer um deles estava sob ataque.
Em julho não atingiu o recorde de terça-feira de junho apenas um pouco, quando foram corrigidas129 vulnerabilidades.
A vulnerabilidade mais séria corrigida desta vez é o problema CVE-2020-1350, também conhecido como SigRed, encontrado como parte do servidor DNS do Windows. A vulnerabilidade foi descoberto pelos especialistas da Check Point e pontuado 10 aponta para fora 10 na escala de classificação de vulnerabilidade CVSSv3.
Outros problemas importantes deste mês incluíram vulnerabilidades que poderiam permitir a execução remota de código que foram descobertas como parte do:
- Componente RemoteFX vGPU no hipervisor Microsoft Hyper-V (CVE-2020-1041, CVE-2020-1040, CVE-2020-1032, CVE-2020-1036, CVE-2020-1042, CVE-2020-1043);
- Mecanismo de banco de dados Jet, incluído em alguns aplicativos do Office (CVE-2020-1400, CVE-2020-1401, CVE-2020-1407);
- Microsoft Word (CVE-2020-1446, CVE-2020-1447, CVE-2020-1448);
- Microsoft Excel (CVE-2020-1240);
- Microsoft Outlook (CVE-2020-1349);
- Microsoft Sharepoint (CVE-2020-1444);
- Arquivos de atalho do Windows LNK (CVE-2020-1421);
- vários componentes gráficos do Windows (CVE-2020-1435, CVE-2020-1408, CVE-2020-1412, CVE-2020-1409, CVE-2020-1436, CVE-2020-1355).
Adobe, por sua vez, corrigiu mais de uma dúzia de vulnerabilidades em produtos como Creative Cloud, Codificador de mídia, Serviço Genuíno, Fusão a frio, e gerenciador de downloads.
Então, na versão Windows do Gerenciador de download, Adobe corrigiu um erro crítico que permitia a introdução de comandos, o que poderia levar à execução de código arbitrário.
"Em Codificador de mídia para Windows e macOS, foram resolvidos dois problemas críticos de gravação fora dos limites que também poderiam levar à execução arbitrária de código, bem como um erro de leitura fora dos limites que implicou a divulgação de informações”, – relatar especialistas da Adobe.
Uma vulnerabilidade crítica também foi corrigida na versão desktop do Nuvem Criativa. O problema está nos links simbólicos, que pode permitir que um invasor grave arquivos arbitrários no sistema de destino. Outras três vulnerabilidades detectadas na aplicação são marcadas como importantes e permitem aumentar privilégios no sistema.
Como parte do Serviço Genuíno, foram corrigidos dois bugs que permitem escalonamento de privilégios, bem como no ColdFusion.
Patches recentes incluem divulgação no NetWeaver (CVE-2020-6285) e vários erros não tão perigosos no Disclosure Management (CVE-2020-6267), Objetos de negócios (CVE-2020-6281, CVE-2020-6276), NetWeaver COMO JAVA (CVE-2020-6282) e Business Objects BI (CVE-2020-6278, CVE-2020-6222).
Também neste mês foram lançados patches para produtos de outros fornecedores, incluindo diversas atualizações de VMware, fixando cerca de um cem erros da Oracle (a pontuação CVSS mais alta é 8.8 pontos para vulnerabilidade CVE-2016-1000031), e também Chrome atualizado, onde um erro crítico e sete falhas de alta gravidade foram corrigidos.
