A Microsoft começou a lançar sua próxima atualização de segurança, que foi lançada hoje como parte do programa Patch Tuesday. O patch de segurança de novembro corrige 112 vulnerabilidades em uma ampla gama de produtos da Microsoft, do navegador Edge ao Windows WalletService.
Um dos principais problemas abordados pelo patch de segurança de novembro é a vulnerabilidade de dia zero CVE-2020-17087, que está relacionada à operação de uma das funções do driver de criptografia do kernel do Windows (cng.sys) e pertence à categoria de bugs de estouro de buffer. Foi relatado que o problema afeta todas as versões com suporte da plataforma de software do Windows 10. A vulnerabilidade também está presente no Windows 7 e nas versões com suporte do Windows Server.
Uma vulnerabilidade de dia zero no Windows foi exposta há alguns dias pelo Google Project Zero. Ele é explorado junto com a vulnerabilidade do navegador Chrome. Especialistas relataram que a vulnerabilidade no Chrome permite a execução remota de código no navegador, enquanto um bug do Windows permite ir além da sandbox do Chrome e possibilita a execução de código no nível do sistema. A vulnerabilidade no Chrome já foi corrigida com uma atualização do navegador, e o patch lançado hoje irá corrigir o bug no Windows. Deve-se observar que a vulnerabilidade mencionada foi ativamente usada por hackers na prática, portanto, você não deve atrasar a instalação da atualização.
Além disso, o patch de segurança de novembro corrige mais 111 vulnerabilidades em vários produtos da Microsoft, incluindo 24 vulnerabilidades relacionadas à execução remota de código. Vulnerabilidades perigosas afetam vários produtos de software, incluindo Excel, SharePoint, Exchange Server, etc.