15 January 2020

Přehled úterních záplat Microsoft pro leden 2020


Přehled úterních záplat Microsoft pro leden 2020

Včera Microsoft vydal bezpečnostní záplaty pro celkem 49 zranitelností. Speciální pozornost byla věnována zranitelnosti v implementaci CryptoAPI pro Windows, uvedenou jako SB2020011424 (CVE-2020-0601), jelikož média těsně před počátečním uvolněním opravy začaly spekulovat o jejím dopadu. Další zájem byl také způsoben organizací, která tuto chybu zabezpečení oznámila společnosti Microsoft: NSA (!).

Všech 49 zranitelností bylo sloučeno do 26 bezpečnostních bulletinů podle zranitelných komponentů a vydáno společností Cybersecurity Help. Pro každou zranitelnost přiřazujeme úroveň rizika na základě naší primární analýzy.

11 zranitelností bylo hodnoceno jako vysoce kritické, 6 zranitelností jako střední a 32 zranitelnostem bylo přiřazeno nízké riziko.

18 zranitelností lze zneužít se vzdáleným přístupem, 30 zranitelností lokálně a 1 zranitelnost vyžaduje fyzický přístup k systému.

Většina opravených chyb (27 z 49) se týká přetečení bufferu. 10 zranitelností bylo způsobeno nesprávným ověřením vstupu a 4 zranitelnosti se týkají správy oprávnění, jak je ukázáno níže:

Níže je tabulka se seznamem všech zranitelností, které společnost Microsoft opravila v lednu 2020.

Software Závažnost CVE/CVSS Známé využití




SB2020011449: Obejití bezpečnostních omezení v Microsoft Windows (1)
Windows
Windows Server
Nízká CVE-2020-0644
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011448: Odmítnutí služby při zpracování pevných odkazů v Microsoft Windows (1)
Windows
Windows Server
Nízká CVE-2020-0616
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011447: Eskalace oprávnění pomocí symbolických odkazů v Microsft Windows (1)
Windows
Windows Server
Nízká CVE-2020-0635
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011446: Obejití bezpečnostních omezení ve Windows 10 (1)
Windows
Windows Server
Nízká CVE-2020-0621
CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011444: Eskalace oprávnění ve Windows Media Service (1)
Windows
Windows Server
Nízká CVE-2020-0641
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011443: Eskalace oprávnění v Microsoft Update Notification Manager (1)
Windows
Windows Server
Nízká CVE-2020-0638
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011442: Vzdálené spuštení kódu v Microsoft Excel (3)
Microsoft Office
Microsoft Excel
Microsoft Office for Mac
Vysoká CVE-2020-0650
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0651
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0653
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011441: Eskalace oprávnění v Microsoft Windows Subsystem for Linux (1)
Windows
Windows Server
Nízká CVE-2020-0636
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011440: Vzdálení spuštění kódu ve Windows Remote Desktop Client (1)
Windows
Windows Server
Střední CVE-2020-0611
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011439: Zranitelnosti ve Windows Remote Desktop Gateway (RD Gateway) (3)
Windows Server Vysoká CVE-2020-0609
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0610
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0612
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011438: Zveřejnění informací v Microsoft Remote Desktop Web Access (1)
Windows Server Střední CVE-2020-0637
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011437: Odmítnutí služby v Microsoft Hyper-V (1)
Windows
Windows Server
Nízká CVE-2020-0617
CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:N/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011436: Zranitelnosti v Microsoft ASP.NET Core (2)
ASP.NET Core MVC Vysoká CVE-2020-0602
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
CVE-2020-0603
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011435: Zranitelnosti v Microsoft Windows Common Log File System Driver (3)
Windows
Windows Server
Nízká CVE-2020-0615
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
CVE-2020-0639
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
CVE-2020-0634
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011434: Několik eskalací oprávnění ve Windows Search Indexer (12)
Windows
Windows Server
Nízká CVE-2020-0614
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0613
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0623
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0633
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0632
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0631
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0630
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0629
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0628
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0627
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0626
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0625
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011432: Zranitelnosti v Microsoft .NET Framework and Core (3)
Microsoft .NET Framework
Microsoft .NET Core
Vysoká CVE-2020-0605
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0606
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0646
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011431: Eskalace oprávnění v Microsoft Cryptographic Services (1)
Windows
Windows Server
Nízká CVE-2020-0620
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011430: Vzdálení spuštění kódu v Microsoft Internet Explorer (1)
Microsoft Internet Explorer Střední CVE-2020-0640
CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011429: Spoofing útok v Microsoft Office Online (1)
Office Online Server Střední CVE-2020-0647
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011428: Vzdálení spuštění kódu v Microsoft Office (1)
Microsoft Office Vysoká CVE-2020-0652
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011427: Obejití bezpečnostních omezení v Microsoft OneDrive for Android (1)
Microsoft OneDrive for Android Nízká CVE-2020-0654
CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné
SB2020011426: XSS v Microsoft Dynamics 365 (On-Premise) (1)
Microsoft Dynamics 365 Field Service (on-premises) Nízká CVE-2020-0656
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011425: Zranitelnosti v Microsoft Graphics Components (2)
Windows
Windows Server
Nízká CVE-2020-0607
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
CVE-2020-0622
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011424: Spoofing útok v Microsoft Windows CryptoAPI (1)
Windows
Windows Server
Vysoká CVE-2020-0601
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011423: Zveřejnění informací v Microsoft Windows GDI+ (1)
Windows
Windows Server
Nízká CVE-2020-0643
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
Není dostupné
SB2020011422: Zranitelnosti v Microsoft Win32k (3)
Windows
Windows Server
Nízká CVE-2020-0642
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE-2020-0608
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
CVE-2020-0624
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Není dostupné

Přečíst všechny články

Poslední posty

Octopus Scanner malware kompromituje projekty s otevřeným zdrojovým kódem pro GitHub

Octopus Scanner malware kompromituje projekty s otevřeným zdrojovým kódem pro GitHub

1 June 2020
Přehled úterních záplat Microsoft pro leden 2020

Přehled úterních záplat Microsoft pro leden 2020

Microsoft vydal bezpečností záplaty pro 49 zranitelností a opravil vysoce nebezpečnou chybu spoofingu.
15 January 2020
Kybernetická špionážní kampaň Buhtrap využila nedávno opravený zero-day ve Windows

Kybernetická špionážní kampaň Buhtrap využila nedávno opravený zero-day ve Windows

Využití pro CVE-2019-1132 vytvořeno skupinou Buhtrap zavisí na objektech vyskakovacích oken.
12 July 2019