Hlavní navigace

Přehled úterních záplat Microsoft pro leden 2020

15. 1. 2020 9:57 Cybersecurity Help

Včera Microsoft vydal bezpečnostní záplaty pro celkem 49 zranitelností. Speciální pozornost byla věnována zranitelnosti v implementaci CryptoAPI pro Windows, uvedenou jako SB2020011424 (CVE-2020–0601), jelikož média těsně před počátečním uvolněním opravy začaly spekulovat o jejím dopadu. Další zájem byl také způsoben organizací, která tuto chybu zabezpečení oznámila společnosti Microsoft: NSA (!).

Všech 49 zranitelností bylo sloučeno do 26 bezpečnostních bulletinů podle zranitelných komponentů a vydáno společností Cybersecurity Help. Pro každou zranitelnost přiřazujeme úroveň rizika na základě naší primární analýzy.

11 zranitelností bylo hodnoceno jako vysoce kritické, 6 zranitelností jako střední a 32 zranitelnostem bylo přiřazeno nízké riziko.

Vulnerability distribution by risk level

18 zranitelností lze zneužít se vzdáleným přístupem, 30 zranitelností lokálně a 1 zranitelnost vyžaduje fyzický přístup k systému.

Vulnerability distribution by access vector

Většina opravených chyb (27 z 49) se týká přetečení bufferu. 10 zranitelností bylo způsobeno nesprávným ověřením vstupu a 4 zranitelnosti se týkají správy oprávnění, jak je ukázáno níže:

Vulnerability distribution by CWE

Níže je tabulka se seznamem všech zranitelností, které společnost Microsoft opravila v lednu 2020.

Software Závažnost CVE/CVSS Známé využití




SB2020011449: Obejití bezpečnostních omezení v Microsoft Windows (1)
Windows
Windows Server
Nízká CVE-2020–0644
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:L/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011448: Odmítnutí služby při zpracování pevných odkazů v Microsoft Windows (1)
Windows
Windows Server
Nízká CVE-2020–0616
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011447: Eskalace oprávnění pomocí symbolických odkazů v Microsft Windows (1)
Windows
Windows Server
Nízká CVE-2020–0635
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011446: Obejití bezpečnostních omezení ve Windows 10 (1)
Windows
Windows Server
Nízká CVE-2020–0621
CVSS:3.0/AV:L/AC:L/PR:H/U­I:N/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011444: Eskalace oprávnění ve Windows Media Service (1)
Windows
Windows Server
Nízká CVE-2020–0641
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011443: Eskalace oprávnění v Microsoft Update Notification Manager (1)
Windows
Windows Server
Nízká CVE-2020–0638
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011442: Vzdálené spuštení kódu v Microsoft Excel (3)
Microsoft Office
Microsoft Excel
Microsoft Office for Mac
Vysoká CVE-2020–0650
CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0651
CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0653
CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011441: Eskalace oprávnění v Microsoft Windows Subsystem for Linux (1)
Windows
Windows Server
Nízká CVE-2020–0636
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011440: Vzdálení spuštění kódu ve Windows Remote Desktop Client (1)
Windows
Windows Server
Střední CVE-2020–0611
CVSS:3.0/AV:N/AC:H/PR:N/U­I:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011439: Zranitelnosti ve Windows Remote Desktop Gateway (RD Gateway) (3)
Windows Server Vysoká CVE-2020–0609
CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0610
CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0612
CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011438: Zveřejnění informací v Microsoft Remote Desktop Web Access (1)
Windows Server Střední CVE-2020–0637
CVSS:3.0/AV:N/AC:L/PR:L/U­I:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011437: Odmítnutí služby v Microsoft Hyper-V (1)
Windows
Windows Server
Nízká CVE-2020–0617
CVSS:3.0/AV:L/AC:H/PR:H/U­I:N/S:C/C:N/I:N/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011436: Zranitelnosti v Microsoft ASP.NET Core (2)
ASP.NET Core MVC Vysoká CVE-2020–0602
CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
CVE-2020–0603
CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011435: Zranitelnosti v Microsoft Windows Common Log File System Driver (3)
Windows
Windows Server
Nízká CVE-2020–0615
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
CVE-2020–0639
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
CVE-2020–0634
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011434: Několik eskalací oprávnění ve Windows Search Indexer (12)
Windows
Windows Server
Nízká CVE-2020–0614
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0613
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0623
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0633
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0632
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0631
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0630
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0629
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0628
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0627
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0626
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0625
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011432: Zranitelnosti v Microsoft .NET Framework and Core (3)
Microsoft .NET Framework
Microsoft .NET Core
Vysoká CVE-2020–0605
CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0606
CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0646
CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011431: Eskalace oprávnění v Microsoft Cryptographic Services (1)
Windows
Windows Server
Nízká CVE-2020–0620
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011430: Vzdálení spuštění kódu v Microsoft Internet Explorer (1)
Microsoft Internet Explorer Střední CVE-2020–0640
CVSS:3.0/AV:N/AC:H/PR:H/U­I:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011429: Spoofing útok v Microsoft Office Online (1)
Office Online Server Střední CVE-2020–0647
CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011428: Vzdálení spuštění kódu v Microsoft Office (1)
Microsoft Office Vysoká CVE-2020–0652
CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011427: Obejití bezpečnostních omezení v Microsoft OneDrive for Android (1)
Microsoft OneDrive for Android Nízká CVE-2020–0654
CVSS:3.0/AV:P/AC:L/PR:N/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011426: XSS v Microsoft Dynamics 365 (On-Premise) (1)
Microsoft Dynamics 365 Field Service (on-premises) Nízká CVE-2020–0656
CVSS:3.0/AV:N/AC:L/PR:L/U­I:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011425: Zranitelnosti v Microsoft Graphics Components (2)
Windows
Windows Server
Nízká CVE-2020–0607
CVSS:3.0/AV:L/AC:L/PR:L/U­I:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
CVE-2020–0622
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011424: Spoofing útok v Microsoft Windows CryptoAPI (1)
Windows
Windows Server
Vysoká CVE-2020–0601
CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011423: Zveřejnění informací v Microsoft Windows GDI+ (1)
Windows
Windows Server
Nízká CVE-2020–0643
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011422: Zranitelnosti v Microsoft Win32k (3)
Windows
Windows Server
Nízká CVE-2020–0642
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020–0608
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
CVE-2020–0624
CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné

Sdílet

Žádné názory