Přehled úterních záplat Microsoft pro leden 2020
15. 1. 2020 9:57
Cybersecurity Help
Včera Microsoft vydal bezpečnostní záplaty pro celkem 49 zranitelností. Speciální pozornost byla věnována zranitelnosti v implementaci CryptoAPI pro Windows, uvedenou jako SB2020011424 (CVE-2020–0601), jelikož média těsně před počátečním uvolněním opravy začaly spekulovat o jejím dopadu. Další zájem byl také způsoben organizací, která tuto chybu zabezpečení oznámila společnosti Microsoft: NSA (!).
Všech 49 zranitelností bylo sloučeno do 26 bezpečnostních bulletinů podle zranitelných komponentů a vydáno společností Cybersecurity Help. Pro každou zranitelnost přiřazujeme úroveň rizika na základě naší primární analýzy.
11 zranitelností bylo hodnoceno jako vysoce kritické, 6 zranitelností jako střední a 32 zranitelnostem bylo přiřazeno nízké riziko.
18 zranitelností lze zneužít se vzdáleným přístupem, 30 zranitelností lokálně a 1 zranitelnost vyžaduje fyzický přístup k systému.
Většina opravených chyb (27 z 49) se týká přetečení bufferu. 10 zranitelností bylo způsobeno nesprávným ověřením vstupu a 4 zranitelnosti se týkají správy oprávnění, jak je ukázáno níže:
Níže je tabulka se seznamem všech zranitelností, které společnost Microsoft opravila v lednu 2020.
| Software | Závažnost | CVE/CVSS | Známé využití |
| SB2020011449: Obejití bezpečnostních omezení v Microsoft Windows (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0644 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011448: Odmítnutí služby při zpracování pevných odkazů v Microsoft Windows (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0616 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011447: Eskalace oprávnění pomocí symbolických odkazů v Microsft Windows (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0635 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011446: Obejití bezpečnostních omezení ve Windows 10 (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0621 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011444: Eskalace oprávnění ve Windows Media Service (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0641 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011443: Eskalace oprávnění v Microsoft Update Notification Manager (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0638 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011442: Vzdálené spuštení kódu v Microsoft Excel (3) | |||
| Microsoft Office Microsoft Excel Microsoft Office for Mac |
Vysoká | CVE-2020–0650 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0651 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0653 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011441: Eskalace oprávnění v Microsoft Windows Subsystem for Linux (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0636 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011440: Vzdálení spuštění kódu ve Windows Remote Desktop Client (1) | |||
| Windows Windows Server |
Střední | CVE-2020–0611 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011439: Zranitelnosti ve Windows Remote Desktop Gateway (RD Gateway) (3) | |||
| Windows Server | Vysoká | CVE-2020–0609 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0610 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0612 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011438: Zveřejnění informací v Microsoft Remote Desktop Web Access (1) | |||
| Windows Server | Střední | CVE-2020–0637 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011437: Odmítnutí služby v Microsoft Hyper-V (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0617 CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:N/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011436: Zranitelnosti v Microsoft ASP.NET Core (2) | |||
| ASP.NET Core MVC | Vysoká | CVE-2020–0602 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C CVE-2020–0603 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011435: Zranitelnosti v Microsoft Windows Common Log File System Driver (3) | |||
| Windows Windows Server |
Nízká | CVE-2020–0615 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C CVE-2020–0639 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C CVE-2020–0634 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011434: Několik eskalací oprávnění ve Windows Search Indexer (12) | |||
| Windows Windows Server |
Nízká | CVE-2020–0614 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0613 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0623 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0633 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0632 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0631 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0630 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0629 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0628 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0627 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0626 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0625 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011432: Zranitelnosti v Microsoft .NET Framework and Core (3) | |||
| Microsoft .NET Framework Microsoft .NET Core |
Vysoká | CVE-2020–0605 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0606 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0646 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011431: Eskalace oprávnění v Microsoft Cryptographic Services (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0620 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011430: Vzdálení spuštění kódu v Microsoft Internet Explorer (1) | |||
| Microsoft Internet Explorer | Střední | CVE-2020–0640 CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011429: Spoofing útok v Microsoft Office Online (1) | |||
| Office Online Server | Střední | CVE-2020–0647 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011428: Vzdálení spuštění kódu v Microsoft Office (1) | |||
| Microsoft Office | Vysoká | CVE-2020–0652 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011427: Obejití bezpečnostních omezení v Microsoft OneDrive for Android (1) | |||
| Microsoft OneDrive for Android | Nízká | CVE-2020–0654 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011426: XSS v Microsoft Dynamics 365 (On-Premise) (1) | |||
| Microsoft Dynamics 365 Field Service (on-premises) | Nízká | CVE-2020–0656 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011425: Zranitelnosti v Microsoft Graphics Components (2) | |||
| Windows Windows Server |
Nízká | CVE-2020–0607 CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C CVE-2020–0622 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011424: Spoofing útok v Microsoft Windows CryptoAPI (1) | |||
| Windows Windows Server |
Vysoká | CVE-2020–0601 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011423: Zveřejnění informací v Microsoft Windows GDI+ (1) | |||
| Windows Windows Server |
Nízká | CVE-2020–0643 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
Není dostupné |
| SB2020011422: Zranitelnosti v Microsoft Win32k (3) | |||
| Windows Windows Server |
Nízká | CVE-2020–0642 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C CVE-2020–0608 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C CVE-2020–0624 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
Není dostupné |
-
Související články na blogu Cybersecurity Help
-
Microsoft záplatoval 27 závad, tentokrát žádné zero-day 10. 8. 2016 15:34
-
Black Tuesday shrnutí: nezáplatovaná 0day pro Flash a 16 bulletinů od Microsoft 15. 6. 2016 13:32
-
334 zranitelností nultého dne bylo od roku 2006 využito během APT útoků 7. 6. 2017 15:32
-
WordPress zranitelnost v REST API je aktivně exploitována 7. 2. 2017 14:48
-
Dostupný exploit pro 0day zranitelnost v Microsoft Windows 3. 2. 2017 15:24
-
Zranitelnost v nejnovější verzi MODX Evolution je aktivně exploitována 30. 11. 2016 14:05
-
-
Související články na ostatních blozích
-
Na ktoré prehliadače optimalizovať v roku 2012? 8. 2. 2012 20:18
-
Android potrebuje len dobrého právnika. Alebo nie? 9. 7. 2011 23:46
-
Beauty of the IE9 Web 14. 10. 2010 10:22
-
Do tří let bude mít v ČR Firefox větší podíl než Internet Explorer 22. 6. 2010 9:40
-
Mých 60 minut s Internet Explorerem 9 19. 3. 2010 14:26
-
Co přinese IE9? Možná víc, než bychom čekali 16. 3. 2010 23:20
-
-
Související články na serveru Root.cz
-
Postřehy z bezpečnosti: pašování škodlivého kódu v metadatech souborů 18. 11. 2024 0:00
-
Postřehy z bezpečnosti: milionové pokuty za nepřiznání dopadů kyberútoků 28. 10. 2024 0:00
-
Postřehy z bezpečnosti: nula sem, nula tam aneb zranitelnost nultého dne 21. 10. 2024 0:00
-
Postřehy z bezpečnosti: AI pomáhá tvořit malware, obcházení MFA u M365 14. 10. 2024 0:00
-
Postřehy z bezpečnosti: dvoumiliardová pokuta za nedostatečnou ochranu hesel 7. 10. 2024 0:00
-
Pokračující monopolizace světa PC: kdo přijde další? 27. 9. 2024 0:00
-
Přidejte svůj názor jako první
Žádné názory
ČLÁNKY DO MAILU